漏洞描述
Apache Log4j2 是一款被广泛使用的Java开源日志框架,被大量用于业务系统开发时的日志信息记录。然而近日一个Apache Log4j2反序列化远程代码执行漏洞已被公开,当应用程序将数据记录日志时,即可触发此漏洞,攻击者即可通过构造恶意请求利用该漏洞实现在目标服务器上执行任意代码。
该组件的使用极为广泛,利用门槛很低、要求少,危害极大,当前已经造成大范围的影响,天旦安全专家建议所有用户尽快升级到安全版本。
漏洞危害
高危,影响范围广,使用门槛低,危害极大
漏洞编号
暂无。
影响版本
Apache log4j2 2.0 - 2.14.1 版本均受影响
修复建议
1. 尽早修复漏洞
目前官方已经修复该漏洞,建议受影响用户尽快安装最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 临时解决方案
未能及时修复补丁的现场,可采用设置JVM参数:Dlog4j2.formatMsgNoLookups=true或者禁止log4j 所在服务器外连等临时方法。
通过NPM进行回查
天旦NPM支持全量网络数据报文的实时解码、分析、存储和回查,可根据Log4j2漏洞攻击的数据包特征对历史数据进行回查。
全数据回查
通过NPM数据包特征检索功能,回查网络中是否已经出现过Log4j2攻击,操作步骤:
1. 进入互联网或者其他外联区流量的监控视图,点击下图的报文检索按钮:
2. 在报文检索界面,选择“Pattern模式”,导入由天旦公司提供的Log4j2特征:
3.在过滤条件中选择刚刚导入的“Log4j2”,即可根据已知的漏洞特征回查历史流量:
4.检索结果:
5.如果发现新的病毒特征,可通过编辑功能,通过简单的操作添加检索的特征:
HTTP全纪录回查
全量数据回查检索的数据量比较大,可能需要消耗较多时间,对于部署Crossflow NPM5的客户,可通过HTTP分析视图功能,通过分析URL的特征进行快速的回查。
HTTP分析视图记录了HTTP应用的URL、返回码和IP地址等信息,可通过NPM的HTTP视图导出全量的URL信息,检索URL中是否存在Log4j2漏洞的数据包特征,操作步骤:
进入HTTP视图,选择“多维统计”;
选择“URI”维度;
鼠标点击“导出CSV”,便可导出网络中全量的url日志;
通过文本检索工具查看url中是否存在jndi:iiop、jndi:dns、jndi:rmi等漏洞特征:
