不要让谣言驱动应急响应

admin 2022年8月2日10:37:12不要让谣言驱动应急响应已关闭评论106 views字数 2846阅读9分29秒阅读模式
这两天网传Nginx和Log4j2的漏洞搞得风声鹤唳,某些厂商捕风捉影真是张嘴就来,然后谣言驱动应急响应,整个一歇斯底里瞎折腾,我们觉得有必要说下自己的研判。

信息名称

Log4j2 远程代码执行漏洞

报告ID

QAXCERT-2022-086

可信度

公开时间

2022-07-30

更新时间

2022-07-31

研判结论

目前仅发现疑似POC公开,以下为奇安信CERT的研判:

1、不影响默认安装的最新版本,除非手动启用JNDI
2、由于RMI的限制,JDK版本需要低于JDK 6u45 , JDK 7u21 , JDK 8u121

即便以上条件都满足,可能还需要其他特定配置条件,目前根本看不出能导致什么威胁。


现在已知最相关的漏洞还是CVE-2021-44228 Apache Log4j2任意代码执行漏洞,详情在下面。去年44228出现以后,随后还出了一波衍生的垃圾漏洞,log4j2早就被在显微镜下给扫描了一遍,就别指望再出什么手榴弹级别的漏洞了。最新版本的log4j2默认禁用了JNDI,除非自己手欠非得手工去打开,就安安心心的吧,别瞎折腾。

信息相关漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

疑似公开

未确认

未确认

未确认

相关漏洞

Apache Log4j2任意代码执行漏洞(CVE-2021-44228)

公开时间

2021-12-23

更新时间

2022-07-31

CVE编号

CVE-2021-44228

其他编号

QVD-2021-35958

威胁类型

代码执行

技术类型

JNDI注入

厂商

Apache

产品

Log4j2

已知漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

已发现

漏洞描述

Apache Log4j2是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。

Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

影响版本

Apache Log4j 2.0-beta9 - 2.12.1

Apache Log4j 2.13.0 - 2.14.1

修复缓解措施

1.添加jvm启动参数   -Dlog4j2.formatMsgNoLookups=true  
2.在应用程序的classpath下添加log4j2.component.properties配置文件文件,文件内容:log4j2.formatMsgNoLookups=True
3. 移除log4j-core包中JndiLookup 类文件,并重启服务
具体命令:zip -q -d   log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
4. 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
5. 限制受影响应用对外访问互联网
6.禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true
7.采用其他防护措施,更新WAF、RASP规则等

修复解决方案(含漏洞补丁)

从Apache Log4j 2.16.0及Apache Log4j 2.12.2版本起,默认禁用JNDI功能,若需使用JNDI查找,需显式的在配置中启用。从Apache Log4j版本 2.17.0(Java 8)、2.12.3(Java 7)和 2.3.1(Java 6)起,已移除 JNDI 查找功能,且禁用 LDAP 协议,仅支持 Java 协议。建议尽快升级至安全版本:

https://logging.apache.org/log4j/2.x/download.html

信息名称

Nginx <= 1.21.5堆栈溢出导致远程命令执行漏洞

报告ID

QAXCERT-2022-084

可信度

公开时间

2022-07-30

更新时间

2022-07-31

研判结论

根本未监测到影响Nginx 1.21.5版本的漏洞,能关联到为4月披露的NGINX LDAP参考实现远程代码执行漏洞。

Nginx是使用量巨大的软件,黑客们做梦都想发现相关的好用漏洞,多少双眼睛盯着呢,默认配置下的内存破坏类好用漏洞出现的可能性低过你上路出车祸,应急就不要在根本没影的说法下去折腾软件服务商了,不折腾才体现自己的水平。

信息相关漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

未确认

未确认

未确认

未确认

相关漏洞

NGINX LDAP参考实现远程代码执行漏洞

公开时间

2022-04-09

更新时间

2022-07-31

CVE编号

暂无

其他编号

暂无

威胁类型

代码执行

技术类型

业务逻辑问题

厂商

Nginx

产品

nginx-ldap-auth

已知漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

NGINX LDAP 参考实现使用轻量级目录访问协议 (LDAP) 来验证由 NGINX 代理的应用程序的用户。NGINX LDAP参考实现中存在远程代码执行漏洞,攻击者可通过向目标服务器发送特制请求来利用此漏洞,从而在目标系统上执行任意代码。注意,NGINX Open Source 和 NGINX Plus 本身不受此漏洞影响。


NGINX 官方指出了利用漏洞需要满足的条件,如果满足以下任何条件,LDAP 参考实现的部署会受到漏洞的影响:

1. 允许使用命令行参数配置 Python 守护进程
2. 存在未使用的可选配置参数
3. LDAP身份验证取决于特定组成员身份

影响版本

配置了NGINX LDAP 参考实现的以下版本:Nginx<=1.18

修复缓解措施

缓解条件1:命令行参数用于配置 Python 守护程序

请将以下配置添加到NGINX 配置(repo中的nginx-ldap-auth.conf)中的location = /auth-proxy块中:

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}  

缓解条件2:未使用的可选配置参数

将以下配置添加到NGINX 配置中的location = /auth-proxy块中:

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}  

缓解条件3:需要 LDAP 组成员身份

请确保显示登录表单的后端守护程序从用户名字段中删除任何特殊字符。必须删除左括号和右括号字符以及等号,它们对于 LDAP 服务器都有特殊含义。LDAP 参考实现中的后端守护程序将在适当的时候以这种方式进行更新。

修复解决方案(含漏补丁)

请尽快升级至安全版本

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月2日10:37:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   不要让谣言驱动应急响应https://cn-sec.com/archives/1215713.html