漏洞名称 : Apache Log4j2 拒绝服务漏洞
组件名称 : Apache Log4j2
影响范围:
2.0.0 ≤ Apache Log4j2 < 2.16.0
漏洞类型:拒绝服务
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置(2.15.0非默认配置)
3、触发方式:远程
综合评价:
<综合评定利用难度>:简单,无需授权即可触发漏洞。
<综合评定威胁等级>:低危,能造成拒绝服务攻击。
漏洞分析
1 组件介绍
Apache Log4j2 是一款 Java 日志框架,是 Apache Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。
2 漏洞描述
2021年12月15日,深信服安全团队监测到一则 Apache Log4j2 组件存在拒绝服务漏洞的信息,漏洞编号:CVE-2021-45046,漏洞威胁等级:低危。
该漏洞是由于 Apache Log4j2 某些特殊配置场景,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终造成服务器拒绝服务。
此漏洞是基于 Apache Log4j2 远程代码执行漏洞 CVE-2021-44228 的原理上的另一种利用方式。
影响范围
Apache Log4j2 广泛地应用在中间件、开发框架、Web应用中。漏洞涉及用户量较大。
目前受影响的 Apache Log4j2 版本:
2.0.0 ≤ Apache Log4j < 2.16.0
解决方案
1 如何检测组件版本
方案一
全盘搜索 log4j,如果存在 log4j-core-{version}.jar
则用户可能受漏洞影响。
方案二
如果项目是由 maven 编译的(一般在项目根目录下会有 pom.xml)
打开pom.xml文件,如图:
在此文件中搜索 log4j-core,如果可以搜索到关键字,并且标签内部的字段在 2.0.0 版本及以上并且小于 2.16.0,则可能受到漏洞的影响。(图中的 log4j-core 的版本是2.14.1,在漏洞影响范围内)
如以上检索均未发现结果,不能够完全下结论一定没有使用 Apache Log4j2组件。如果服务器有使用以下中间件的(Apache Log4j2 组件通常会嵌套在以下中间件中使用),仍要联系业务系统的开发或维护厂商进行判断是否有使用 Apache Log4j2 组件。
Apache Log4j2 远程代码执行漏洞可能的受影响中间件包括但不限于如下:
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
Dubbo
Apereo CAS
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/apache/logging-log4j2/releases/tag/
注:Java8 的用户需要升级到 Apache Log4j 2.16.0版本。Java 7 的用户需要升级到Apache Log4j 2.12.2版本
3 临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
在 log4j-core-*.jar 文件中删除 JndiLookup 类文件。
(一般路径为 org/apache/logging/log4j/core/lookup/JndiLookup.class)
注:目前只有 log4j-core 的 jar 文件受到此漏洞的影响。仅使用 log4j-api 的 jar 文件,但不使用 log4j-core 的 jar 文件的应用程序不会受到此漏洞的影响。
4 深信服解决方案
【深信服下一代防火墙AF】可防御此漏洞, 建议用户将深信服下一代防火墙开启 IPS 防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】可检测此漏洞,结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙AF】等产品实现对攻击者IP的封堵。
【深信服安全云眼CloudEye】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜YJ】在漏洞爆发第一时间即完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
参考链接
https://logging.apache.org/log4j/2.x/security.html
时间轴
2021/12/15 深信服监测到 Apache Log4j2 拒绝服务漏洞信息。
2021/12/16 深信服千里目安全实验室发布漏洞通告。
自 Apache Log4j2 漏洞爆发以来,深信服已实时更新讯息,可点击下方链接了解详情:
请注意Apache Log4j2远程代码执行漏洞影响面广泛,深信服已有防护规则
针对Apache Log4j2远程代码执行漏洞 深信服发布应急处置指南(内附自查手册)
深信服EDR成功拦截利用Apache Log4j2漏洞Tellyouthepass 勒索,警惕攻击OA系统
发现针对某OA的Log4shell漏洞利用的新型挖矿病毒WhiteLotusMiner
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Apache Log4j2 拒绝服务漏洞CVE-2021-45046
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论