描述
今天整个互联网最火的头条应该算是 Apache Log 4j 2 漏洞了吧。整个全球互联网公司都在忙着给自己的服务打补丁修复。
到底是个什么情况呢?
ApacheLog4j 2 是一个优秀和流行的开源Java日志记录组件。在很多后台项目中都广泛应用。
而爆出的漏洞就是攻击者可以通过构造恶意请求来实现在目标服务器上执行任意的代码,从而实现服务器数据窃取,获取服务器操作权限等行为。
我们的项目经理大早上就给我们发信息,让后台技术人员检查代码是否有使用Log 4j 的库。有的话立刻进行更新升级。
事件详情
在12月10日凌晨,Apache开源项目Log4j爆出可以远程代码执行的漏洞,并公布了详细细节。由于该库在大量互联网产品中被广泛使用。
爆出问题后各大厂商立马发布相应。并紧急处理。
Log4j 是用来监视代码中变量的变化情况,周期性的记录到文件中供其他应用进行统计分析工作。跟踪代码运行时轨迹,作为日后审计的依据。担当集成开发环境中的调试器的作用。只要是有开发经验都能理解日志记录的重要性。
所有的线上产品都是有日志系统进行统计所有的操作记录的。
而这次的漏洞就是在于Log4j 2 提供的lookuo功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但又没有对输入的数据进行严格判定,从而造成了可以通过指令进行攻击的漏洞。
影响
受到该漏洞的攻击影响,百度,苹果iCloud,360搜索等都出现了该问题。其他的互联网大厂都发出了各种通告:例如斗鱼,京东,网易阿里等等。还有一些开源应用和组件受到影响,例如 Apache Solr,Apache Struts2,Apache Druid,Apache Flink,ElasticSearch,Flume,Dubbo,Jedis,Logstash,Kafka,Spring-Boot-strater-log4j2等等
补丁
在出现了该问题后,Log4j 2 其实在12月9日 立马发布了rc1 版本:2.15.0-rc1 进行紧急修复。
但是更新后多家大厂的安全应急响应团队反馈,该更新仍然存在漏洞绕过问题,也就是说修复了个寂寞。
在12月10日凌晨2点。Apache官方紧急发布log4j-2.15.0-rc2 版本用来修复漏洞。
到此:现在受到该漏洞攻击的版本主要在:log4j-2.x< 2.15.0-rc2 。
最新的版本下载链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
更新之后就能修复了。
攻击检测
由于该漏洞已经被公布,并且估计发生了不短的时间。那么我们如果检测自己是否被攻击呢?
检测方式:
- 通过查询日志中是否存在:
jndi:idap://,jndi:rmi等字符来发现可能的攻击行为。 - 检测日志中是否存在相关堆栈报错,例如:JndiLookup,IdapURLContext,getObjectFactoryFromReference等与jndi调用相关的堆栈信息记录。
主要是波及了使用java语言进行开发的系统,因为该开源库主要是java的log日志输出。
其他
12月13日的新闻,我的世界 Java版被攻击。
这还是被爆出的,没有爆出的估计更多了。
根据360团队的消息,此次360CERT调查统计了1555家厂商,发现目前受CVE-2021-44228 (log4shell)漏洞影响的厂商有 22 家,可能不受影响的厂商有50家,而有1481家厂商仍在自查漏洞中。
综合受影响厂商数据分析,此次的受漏洞影响的厂商主要包含以下几类:
-
综合厂商(Cisco、Microsoft)
-
操作系统(Ubuntu、SUSE Linux、)
-
安全厂商(Trend Micro、McAfee、Sophos、Imperva Inc)
-
应用软件(VMware、SolarWinds、Exim、Red Hat、CVSNT)
-
硬件厂商(Intel、Rockwell Automation)
-
服务提供商(Unify Software、TIBCO)
360还整理了一份excel表格记录这些厂商的修复情况:http://pub-shbt.s3.360.cn/cert-public-file/vendor.xlsx
评论区