騰訊雲容器安全服務團隊透過犀引擎發現約數萬映象受ApacheLog4j2遠端程式碼執行漏洞影響,存在較高風險!為助力全網客戶快速修復漏洞,免費向使用者提供試用,登入控制檯(https://console.cloud.tencent.com/tcss)即可快速體驗。
1、漏洞描述
騰訊雲容器安全服務團隊注意到,12月9日晚,Apache Log4j2反序列化遠端程式碼執行漏洞細節已被公開,Apache Log4j-2中存在JNDI注入漏洞,當程式將使用者輸入的資料進行日誌記錄時,即可觸發此漏洞,成功利用此漏洞可以在目標伺服器上執行任意程式碼。
Apache Log4j2是一個基於Java的日誌記錄工具。該工具重寫了Log4j框架,並且引入了大量豐富的特性。該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。大多數情況下,開發者可能會將使用者輸入導致的錯誤資訊寫入日誌中。
因該元件使用極為廣泛,利用門檻很低,危害極大,騰訊安全專家建議所有使用者儘快升級到安全版本。
2、漏洞風險
高危,該漏洞影響範圍極廣,利用門檻很低,危害極大。
CVSS評分:10(最高階)
漏洞細節 | 漏洞PoC | 漏洞EXP | 在野利用 |
已公開 | 已知 | 已知 | 已發現 |
3、漏洞影響版本
Apache log4j2 2.0 - 2.14.1 版本均受影響。
4、安全版本
Apache log4j-2.15.0-rc2
(2.15.0-rc1版,經騰訊安全專家驗證可以被繞過)
5、漏洞修復建議
騰訊雲容器安全團隊建議使用者使用騰訊容器安全服務(TCSS)對已使用映象進行安全掃描,檢測修復映象漏洞,詳細操作步驟如下:
(1)登陸騰訊容器安全服務控制檯(https://console.cloud.tencent.com/tcss),領取7天免費試用
(2)依次開啟左側“映象安全”,對本地映象和倉庫映象進行排查;
(3)本地映象/倉庫映象功能-點選一鍵檢測,批次選擇ApacheLog4j元件關聯映象,確認一鍵掃描;
(4)掃描完畢,單擊詳情確認資產存在Apache Log4j元件遠端程式碼執行漏洞風險;
(5)升級到Apache Log4j到安全版本;
(6)回到容器安全服務控制檯再次開啟“映象安全”,重新檢測確保資產不受Apache Log4j元件遠端程式碼執行漏洞影響;
(7)確認修復後,基於新映象重新啟動容器。
騰訊T-Sec主機安全(雲鏡)、騰訊安全T-Sec Web應用防火牆(WAF)、騰訊T-Sec高階威脅檢測系統(NDR、御界)、騰訊T-Sec雲防火牆產品均已支援檢測攔截利用Apache Log4j2遠端程式碼執行漏洞的攻擊活動。
官方補丁:
升級Apache Log4j所有相關應用到最新的 Log4j-2.15.0-rc2 版本。
(2.15.0-rc1版,經騰訊安全專家驗證可以被繞過)
補丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
緩解措施:
方案一:修改Java虛擬機器啟動引數,新增-Dlog4j2.formatMsgNoLookups=true
方案二:程式碼中配置System.setProperty("log4j2.formatMsgNoLookups","true"),重新打包jar包
關於騰訊安全犀引擎能力
騰訊雲容器安全服務整合騰訊安全團隊自研犀引擎能力,犀引擎基於公開漏洞庫和騰訊安全多年積累的漏洞資訊庫,可精準識別系統元件及應用元件的漏洞,動態評估漏洞風險,準確定位出需要優先修復關注的漏洞。
(1)支援Redhat、centos、ubuntu、debian、alpine等主流作業系統下的系統元件漏洞掃描,支援java、python、golang、nodejs、php、ruby等主流程式語言的軟體包的漏洞掃描。
(2)動態漏洞風險評估基於通用漏洞評分系統(CVSS),依據漏洞攻擊利用的真實傳播狀態、漏洞修復的難易程度、漏洞可造成的實際危害、安全專家評判等粒度,動態評估漏洞的實際風險。
(3)針對系統元件和應用元件中版本型別多、公開漏洞資訊不精確等問題,引擎結合自動化運營和安全專家研判,提供多維精準漏洞識別。
關於騰訊容器安全服務(TCSS)
騰訊容器安全服務(Tencent Container SecurityService, TCSS)提供容器資產管理、映象安全、執行時入侵檢測等安全服務,保障容器從映象生成、儲存到執行時的全生命週期,幫助企業構建容器安全防護體系。
騰訊容器安全服務產品團隊結合業內最大規模容器叢集安全治理運營經驗打磨產品,推動行業標準及規範的編寫制定,並首發《容器安全白皮書》,對國內容器環境安全現狀進行分析總結,助力雲原生安全生態的標準化和健康發展。
檢視原文跳轉連結:
https://console.cloud.tencent.com/tcss