12月9日,360政企安全集團監測到Apache 官方於2021年12月07日釋出了log4j-2.15.0-rc1版本。經360政企安全集團安全專家研判,該版本存在繞過風險,具有安全隱患。廠商已釋出最新版本log4j-2.15.0-rc2,請廣大使用者儘快更新。
該元件在開啟了日誌記錄功能後,凡是在可觸發錯誤記錄日誌的地方,插入漏洞利用程式碼,即可利用成功。若該元件記錄的日誌會包含其他系統的記錄日誌,則有可能造成間接投毒。透過中間系統,使得元件間接讀取了具有攻擊性的漏洞利用程式碼,亦可間接造成漏洞觸發。
經360漏洞雲安全專家研判,log4j2是全球使用廣泛的java日誌框架,同時該漏洞還影響很多全球使用量的Top序列的通用開源元件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。該漏洞利用方式簡單,危害嚴重,官方已經發布該產品的最新版本,建議使用者儘快升級元件,修復緩解該漏洞。
漏洞影響面分析
透過Google搜尋引擎對依賴該元件的產品、其他開源元件分析,發現有310個產品、開源元件依賴了Apache Log4j2 2.14.1的版本。
根據網路空間測繪系統Quake探測的全網使用Java語言編寫的產品部署量如下圖所示:
從使用量全球Top5的統計表中可以看出,Java開發語言的使用量第一名是美國,第二名是中國,且中美的使用量幾乎持平。
在國內Java開發的元件的部署量重點地區是北京市、廣東省、浙江省、上海市以及香港特別行政區。
綜上,根據 Log4j2本身的使用量、影響量,再根據Java語言開發的產品元件的全球分佈和國內分佈,可大致推算出本次Log4j2漏洞在全球影響最大的地區是中國和美國,在國內需要著重關注的地區是 北京、上海、廣東、浙江、香港。
由於此次漏洞元件屬於Java產品的基礎元件,漏洞影響面覆蓋全行業。凡是使用了Java作為開發語言研發產品的企業,或者使用了Java語言開發的產品的企業,企業內部均需要自查自身的安全隱患。
鑑於該漏洞危害嚴重,利用方式簡單,影響廣泛,360政企安全集團緊急預警併成立應急事件小組,研究應對本次事件的使用者對策,目前已經上線包含檢測、防禦、修復等在內的整體解決方案,使用者可根據自身情況安裝使用,全面消除安全隱患。
修復及建議
1) 儘快透過參考連結中官網地址升級到最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2) 配置網路防火牆,禁止系統主動外連網路,包含不限於DNS、TCP/IP、ICMP。
3) 升級已知受影響的應用及元件,如srping-boot-strater-log4j2、ApacheSolr、Apache Flink、Apache Druid。
4) 排查日誌集中管理伺服器,以及基於java開發的商業軟體,以及其他可能存在隱患的基礎環境。
5) 緊急加固緩解措施:
設定引數:
log4j2.formatMsgNoLookups=True
修改JVM引數:
-Dlog4j2.formatMsgNoLookups=true
系統環境變數:
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true
禁止 log4j2 所在伺服器外連
6) 同時建議您使用360相關安全產品及服務,為您保駕護航。
360政企解決方案
1. 360本地安全大腦
360本地安全大腦針對該漏洞威脅,第一時間釋出安全更新,可實現針對該漏洞的主動檢測,助力全面攔截利用該漏洞發起的攻擊,請廣大使用者及時更新檢測規則。
由於已存在在野的poc利用,360本地安全大腦監測發現部分攻擊者利用公共dnslog平臺進行漏洞探測情況(本腦已內建dnslog檢測規則),請及時關注dnslog相關攻擊域名訪問。
360本地安全大腦是360基於雲端計算、大資料、人工智慧等新一代資訊科技,將雲端安全大腦核心能力本地化部署的一套統一安全平臺。基於這個平臺透過模組化組合開發了一系列場景化解決方案。針對高危漏洞的攻擊,運營人員可根據安全告警,結合產品能力實現對攻擊行為的分析、溯源、處置。
2. 360高階持續性威脅預警系統
360高階持續性威脅預警系統(360NDR)產品能快速檢測Log4j2遠端程式碼執行漏洞利用的情況。360NDR產品檢測情況:
使用者可在360NDR的”統一告警”頁面和”流量攻擊/遠端漏洞攻擊”頁面,檢視是否有駭客利用該漏洞的進行攻擊,如有,建議手動或者聯動防火牆對攻擊IP進行阻斷。
360NDR產品更新方式:如果使用者可連網際網路,點選線上更新即可;如果使用者為內網環境,不能連網際網路,請聯絡360安全服務團隊,進行離線升級。
360NDR,全稱360高階持續性威脅預警系統,是一款專門應對高階網路威脅的新一代智慧安全產品,系統旁路部署網路出口,對網路流量進行深度分析,檢測零日漏洞(0DAY)、高階木馬、遠端控制和滲透行為等網路攻擊和失陷資產,並儲存原始攻擊PCAP包和檔案,提供視覺化溯源分析和防火牆聯動,幫助使用者快速構建威脅檢測、分析、溯源到響應處置閉環流程。
1. 360資產管理與威脅探測系統(天相)
鑑於此漏洞的高危影響,360資產管理與威脅探測系統(360天相)第一時間釋出了POC外掛,能夠主動檢測該高危漏洞風險,保護不同領域客戶的資料和財產安全。已經部署360天相的客戶可以透過線上更新的方式自動化更新POC外掛,未部署的客戶可聯絡360安全服務團隊,在安裝部署最新版360天相後,透過前往情報-漏洞情報處一鍵下發POC檢測任務,新客戶建議先發起資產測繪任務,再發起POC檢測任務。
360安全大腦經研判發現,如果想要檢測到該漏洞,就必須需要找到該漏洞的實際路徑。但常規POC檢測大多僅為主頁或者預設路徑。因此,在360安全大腦的賦能下,360天相透過基於web引擎和POC檢測相結合的方式,採用爬蟲測繪能力,能夠進一步發現web站點的實際訪問路徑,從而發現更深層級的漏洞路徑。同時,基於深層級URL進行的POC檢測,可助力360天相提供到較常規POC檢測更全面的檢測能力。
3、360雲探安全監測系統
360雲探安全監測系統是一款面向黨政軍、金融、教育和網際網路使用者的綜合型SaaS化網站應用安全監測服務產品,可有效監測網站的異常,發現企業網站的安全問題,目前已可以針對此漏洞進行安全監測。
4、360磐雲安全防護系統
360磐雲安全防護系統是集合網站配置、防護、加速、管理於一體的基於SaaS化安全防護產品,旨在解決使用者網站安全問題,目前已可以針對此漏洞進行安全防護。
5、 360安全服務
360雲端安全專家提供7*24小時持續的安全保障服務,在漏洞爆發之初,雲端安全專家即對使用者的網路環境進行漏洞掃描,保障第一時間檢查使用者是否存在此漏洞,針對存在漏洞的使用者,檢查並更新防護裝置策略,確保使用者防護裝置可以防護此漏洞風險。
聯絡方式:
電話:400-0309-360
郵箱:anfu-b@360.cn
或聯絡360政企當地安服技術團隊,如果情況嚴重,360將派駐安全專家上門修復。
獲取更多情報:
建議您訂閱360漏洞雲-漏洞情報服務,獲取更多漏洞情報詳情以及處置建議,讓您的企業遠離漏洞威脅。
電話:010-52447660
郵箱:loudongyun@360.cn
網址:https://loudongyun.360.cn