Apache Log4j2引发严重安全漏洞

VSole2021-12-11 19:05:50

9日夜间,Apache Log4j2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击,一大批安全人员深夜修bug,堪称“核弹级”漏洞。

经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。

log4j是Apache的一个开源项目,是一个基于Java的日志记录框架。Log4j2是log4j的后继者,被大量用于业务系统开发,记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

据网友描述:“百度的主页搜索被黑了,所有Java同学起床修bug,影响很大”。

此次Log4j2 远程代码执行漏洞,已经被攻击者利用并公开扩散。触发条件:只要外部用户输入的数据会被日志记录,即可造成远程代码执行。

有网友表示:“可以说是灾难性的漏洞,比之前的fastjson和shiro还要严重,这个漏洞估计在之后三四年内还会继续存在”。

如果被攻击,影响的范围堪比2017年“永恒之蓝”病毒,当年的WannaCry勒索病毒,致使美国、英国、俄罗斯、中国等至少150个国家,30万名用户中招。

雷峰网从奇安信集团了解到,根据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求,已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

安全专家还表示,开源软件安全治理是一项任重道远的工作,需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示:"漏洞严重,建议排查所有系统依赖升级到log4j-2.15.0-rc1。业务系统可能没有直接引用,但是旁路的日志、大数据等Java体系生态中基本上都有,仍然会被打。"


奇安信分析

截至发稿前,奇安信提供了该漏洞在国内的威胁和影响情况。

在漏洞威胁方面,根据奇安信网络空间测绘平台(Hunter)截至2021年12月10日的测绘数据,依据排名前10的Java组件统计分析,受Apache Log4j代码执行漏洞影响的前十大省级单位(含直辖市、自治区、特别行政区)分别为北京市、广东省、香港特别行政区、江苏省、上海市、浙江省、湖北省、山东省、河南省、安徽省。

其中北京市受该漏洞影响最大,暴露在公网上的资产总数为1,763,977个,占北京市Web资产总数比例大于10%。

在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象。

在利用该漏洞的攻击数量方面,根据奇安信司南平台监测数据显示,首次攻击量级波动出现在12月9日下午16点,随后趋于平静。到凌晨0点开始,攻击数量出现大幅度增加,并持续2个多小时。到10日上午9点和12点,攻击数量再次出现两个高峰。

对于疑似受到攻击的网站数量,在12月9日下午开始增加,凌晨达到一次高峰,10日早晨9点左右,量级再次激增,10点钟达到第二个高峰,12点达到第三个高峰,也是全天的最高峰。被攻击的网站数量和攻击次数的波峰时间基本吻合。 

奇安信安全专家表示,本次漏洞之所以影响范围极大,其核心仍然是软件供应链安全问题。由于该组件应用范围十分广泛,所有使用该组件的所有产品都会受到漏洞影响,因此对其下游造成的软件供应链安全隐患巨大。 

奇安信司南平台还显示,本次受到攻击行为的客户分布非常广泛,IT通信(互联网)、高校、工业制造、金融、政府、医疗卫生、运营商等几乎所有行业都受到波及,全球知名科技公司、电商网站等也未能幸免。其波及面和威胁程度,均堪比2017年的“永恒之蓝”。  

专家建议

奇安信安全专家建议,广大客户请联系厂商获取修复后的官方版本,或者以下解决方案来精准防护该漏洞:

apachelog4j
本作品采用《CC 协议》,转载必须注明作者和本文链接
Apache Log4j2是一款Java开源日志组件,该工具重写了Log4j框架,该日志框架被大量用于业务系统开发,用来记录日志信息。多数情况之下,开发者可能会将用户输入导致的错误信息写入日志中。此漏洞的严重性、影响面,堪称史上之最。若程序使用gradle打包,可查看编译配置文件,若在dependencies部分存在相关字段,且版本号为小于,则存在该漏洞。
近日,Apache Log4j 漏洞再次曝光3个高危漏洞,评级均在高危以上。 自2021年12月7日公开,Apache Log4j 漏洞被认为是“2021年最重要的安全威胁之一”,称它为“核弹级”漏洞真的不是夸张。该漏洞被披露已有1个多月时间,我们一起来回顾下,这场“核爆炸”究竟带来了哪些连锁反应? 被披露仅1个多月时间,以CVE-2021-44228漏洞为起始点,Apache Log4j
Log4j是一个开源Java日志库,由Apache Foundation开发,部署在企业应用程序和云服务中。最近火爆网络安全界的Log4j漏洞编号CVE-2021-44228 并被称为“Log4Shell”,这是一个未经身份验证的远程代码执行(RCE)漏洞,允许在使用Log4j 2.0-beta9至2.14.1的系统上进行完整的系统接管。Apache已经发布了Log4j 2.15.0来解决该漏洞。
国家互联网信息办对《网络数据安全管理条例》公开征求意见。
Apache Log4j曝严重任意代码执行漏洞,危害巨大
Apache Log4j2 (CVE-2021-44228)漏洞的利用呈加剧趋势,奇安信威胁情报中心将收集持续整理IOC供安全社区使用。 我们创建的Github项目https://github.com/RedDrip7/Log4Shell_CVE-2021-44228_related_attacks_IOCs也会同步更新,最新的数据请尽可能直接从Github的库获取。 使用Apache Log
Apache Log4j2高危漏洞一经发布,很多单位都在第一时间启动应急响应进行修复。但因Apache Log的应用极其广泛,其危害还在持续发酵过程中。绿盟科技使用网络空间安全仿真平台对Apache Log4j2漏洞环境进行了仿真,并在此环境上复现了漏洞的利用及修复方法,基于此演练场景可提升网络安全人员针对此漏洞的应急水平。绿盟科技一直致力于将网络安全前沿技术和安全事件提炼成仿真场景,通过场景式演
Apache Log4j2从RCE到RC1绕过本文首发于先知社区:https://xz.aliyun.com
9日夜间,Apache Log4j2引发严重安全漏洞,疑似很多公司的服务器被扫描攻击,一大批安全人员深夜修bug,堪称“核弹级”漏洞。 经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。
据悉,此次爆发的Apache Log4j2远程代码执行漏洞 ,只要外部用户输入的数据会被日志记录即被触发,无需特殊配置,入侵者可直接构造恶意请求,造成远程代码执行,并以惊人的速度在各大行业的业务系统中传播,危害堪比“永恒之蓝”! 启明星辰漏洞扫描产品团队和基线核查产品团队在第一时间对此漏洞进行了紧急响应,并提供漏洞扫描和销控方案。
VSole
网络安全专家