在最後的日子 網上已經有很多關於Log4漏洞的討論了j,其中發現了各種攻擊向量,還過濾了各種功能漏洞以利用該漏洞。
問題的嚴重性在於,這是在 Java 應用程序中組織註冊表的流行框架。,它允許在以“{jndi: URL}”格式將特殊格式的值寫入註冊表時執行任意代碼。 攻擊可以對記錄從外部來源獲取的值的 Java 應用程序進行,例如通過在錯誤消息中顯示有問題的值。
它 攻擊者在目標系統上發出 HTTP 請求,使用 Log4j 2 生成日誌 它使用 JNDI 向攻擊者控制的站點發出請求。 該漏洞隨後會導致被利用的進程到達站點並執行有效負載。 在許多觀察到的攻擊中,屬於攻擊者的參數是 DNS 註冊系統,旨在在站點上註冊請求以識別易受攻擊的系統。
正如我們的同事 Isaac 已經分享的那樣:
Log4j 的這個漏洞允許利用對 LDAP 的錯誤輸入驗證,允許 遠程代碼執行 (RCE),並損害服務器(機密性、數據完整性和系統可用性)。 此外,此漏洞的問題或重要性在於使用它的應用程序和服務器的數量,包括商業軟件和雲服務如 Apple iCloud、Steam,或流行的視頻遊戲如 Minecraft: Java Edition、Twitter、Cloudflare、騰訊、ElasticSearch、Redis、Elastic Logstash 等。
談到這件事,最近 Apache 軟件基金會發布 通過 一個帖子 解決 Log4j 2 中關鍵漏洞的項目摘要 它允許任意代碼在服務器上運行。
以下 Apache 項目受到影響:Archiva、Druid、EventMesh、Flink、Fortress、Geode、Hive、JMeter、Jena、JSPWiki、OFBiz、Ozone、SkyWalking、Solr、Struts、TrafficControl 和 Calcite Avatica。 該漏洞還影響了 GitHub 產品,包括 GitHub.com、GitHub Enterprise Cloud 和 GitHub Enterprise Server。
最近幾天明顯增加 與利用漏洞相關的活動。 例如, Check Point 在其虛擬服務器上每分鐘記錄了大約 100 次漏洞利用嘗試 達到頂峰,Sophos 宣布發現了一種新的加密貨幣挖掘殭屍網絡,該殭屍網絡由在 Log4j 2 中存在未修補漏洞的系統構成。
關於已經發布的關於該問題的信息:
- 該漏洞已經在很多官方Docker鏡像中得到確認,包括couchbase、elasticsearch、flink、solr、storm鏡像等。
- 該漏洞存在於 MongoDB Atlas Search 產品中。
- 該問題出現在各種 Cisco 產品中,包括 Cisco Webex Meetings Server、Cisco CX Cloud Agent、Cisco
- 高級網絡安全報告、思科 Firepower 威脅防禦 (FTD)、思科身份服務引擎 (ISE)、思科 CloudCenter、思科 DNA 中心、思科。 BroadWorks 等
- 該問題存在於 IBM WebSphere Application Server 和以下 Red Hat 產品中:OpenShift、OpenShift Logging、OpenStack Platform、Integration Camel、CodeReady Studio、Data Grid、Fuse 和 AMQ Streams。
- 在 Junos Space Network Management Platform、Northstar Controller/Planner、Paragon Insights/Pathfinder/Planner 中確認了問題。
- 來自 Oracle、vmWare、Broadcom 和 Amazon 的許多產品也受到影響。
不受 Log4j 2 漏洞影響的 Apache 項目:Apache Iceberg、Guacamole、Hadoop、Log4Net、Spark、Tomcat、ZooKeeper 和 CloudStack。
建議有問題包的用戶緊急安裝已發布的更新 對於它們,單獨更新Log4j 2的版本或將參數Log4j2.formatMsgNoLookups設置為true(例如,在啟動時添加鍵“-DLog4j2.formatMsgNoLookup = True”)。
為了鎖定無法直接訪問的系統易受攻擊的漏洞,建議利用 Logout4Shell 疫苗,該疫苗通過發起攻擊暴露 Java 設置“log4j2.formatMsgNoLookups = true”、“com.sun.jndi” .rmi.object。 trustURLCodebase = false "和" com.sun.jndi.cosnaming.object.trustURLCodebase = false " 以阻止漏洞在不受控制的系統上的進一步表現。