在最后的日子 网上已经有很多关于Log4漏洞的讨论了j,其中发现了各种攻击向量,还过滤了各种功能漏洞以利用该漏洞。
问题的严重性在于,这是在 Java 应用程序中组织注册表的流行框架。,它允许在以“{jndi: URL}”格式将特殊格式的值写入注册表时执行任意代码。 攻击可以对记录从外部来源获取的值的 Java 应用程序进行,例如通过在错误消息中显示有问题的值。
它 攻击者在目标系统上发出 HTTP 请求,使用 Log4j 2 生成日志 它使用 JNDI 向攻击者控制的站点发出请求。 该漏洞随后会导致被利用的进程到达站点并执行有效负载。 在许多观察到的攻击中,属于攻击者的参数是 DNS 注册系统,旨在在站点上注册请求以识别易受攻击的系统。
正如我们的同事 Isaac 已经分享的那样:
Log4j 的这个漏洞允许利用对 LDAP 的错误输入验证,允许 远程代码执行 (RCE),并损害服务器(机密性、数据完整性和系统可用性)。 此外,此漏洞的问题或重要性在于使用它的应用程序和服务器的数量,包括商业软件和云服务如 Apple iCloud、Steam,或流行的视频游戏如 Minecraft: Java Edition、Twitter、Cloudflare、腾讯、ElasticSearch、Redis、Elastic Logstash 等。
谈到这件事,最近 Apache 软件基金会发布 通过 一个帖子 解决 Log4j 2 中关键漏洞的项目摘要 它允许任意代码在服务器上运行。
以下 Apache 项目受到影响:Archiva、Druid、EventMesh、Flink、Fortress、Geode、Hive、JMeter、Jena、JSPWiki、OFBiz、Ozone、SkyWalking、Solr、Struts、TrafficControl 和 Calcite Avatica。 该漏洞还影响了 GitHub 产品,包括 GitHub.com、GitHub Enterprise Cloud 和 GitHub Enterprise Server。
最近几天明显增加 与利用漏洞相关的活动。 例如, Check Point 在其虚拟服务器上每分钟记录了大约 100 次漏洞利用尝试 达到顶峰,Sophos 宣布发现了一种新的加密货币挖掘僵尸网络,该僵尸网络由在 Log4j 2 中存在未修补漏洞的系统构成。
关于已经发布的关于该问题的信息:
- 该漏洞已经在很多官方Docker镜像中得到确认,包括couchbase、elasticsearch、flink、solr、storm镜像等。
- 该漏洞存在于 MongoDB Atlas Search 产品中。
- 该问题出现在各种 Cisco 产品中,包括 Cisco Webex Meetings Server、Cisco CX Cloud Agent、Cisco
- 高级网络安全报告、思科 Firepower 威胁防御 (FTD)、思科身份服务引擎 (ISE)、思科 CloudCenter、思科 DNA 中心、思科。 BroadWorks 等
- 该问题存在于 IBM WebSphere Application Server 和以下 Red Hat 产品中:OpenShift、OpenShift Logging、OpenStack Platform、Integration Camel、CodeReady Studio、Data Grid、Fuse 和 AMQ Streams。
- 在 Junos Space Network Management Platform、Northstar Controller/Planner、Paragon Insights/Pathfinder/Planner 中确认了问题。
- 来自 Oracle、vmWare、Broadcom 和 Amazon 的许多产品也受到影响。
不受 Log4j 2 漏洞影响的 Apache 项目:Apache Iceberg、Guacamole、Hadoop、Log4Net、Spark、Tomcat、ZooKeeper 和 CloudStack。
建议有问题包的用户紧急安装已发布的更新 对于它们,单独更新Log4j 2的版本或将参数Log4j2.formatMsgNoLookups设置为true(例如,在启动时添加键“-DLog4j2.formatMsgNoLookup = True”)。
为了锁定无法直接访问的系统易受攻击的漏洞,建议利用 Logout4Shell 疫苗,该疫苗通过发起攻击暴露 Java 设置“log4j2.formatMsgNoLookups = true”、“com.sun.jndi” .rmi.object。 trustURLCodebase = false "和" com.sun.jndi.cosnaming.object.trustURLCodebase = false " 以阻止漏洞在不受控制的系统上的进一步表现。