谁是超级骇客!从创宇盾感知Apache Log4j2 曝光前后惊魂24小时态势
来源:知道创宇云防御2021.12.10一:漏洞描述
Apache Log4j2 是Java程序中最常使用的开源日志记录组件。近日,404积极防御实验室通过创宇安全智脑监测到 Apache Log4j2 远程代码执行高危漏洞被攻击者利用。经专家验证,该漏洞只要外部用户输入的数据如果被日志记录,即可触发导致远程代码执行,成功利用该漏洞的攻击者可以在目标设备上远程执行恶意代码。
二:漏洞危害
Apache Log4j2 是Java程序中最常使用的开源日志记录组件,市面上绝大多数Java应用都使用了该组件,Log4j2 远程代码执行漏洞利用门槛低无需特殊配置,在短时间内呈井喷式爆发,全球黑客正在疯狂利用中.....
可能受影响的应用:
Apache Spark、Apache Struts2、Apache Solr、Apache Kafka、Apache Druid、Apache Flink、Logstash、ElasticSearch、Apache Flume、Apache Dubbo等Java应用。
漏洞评估:
回溯分析:
漏洞应急响应后回溯分析发现在11月25日就已有攻击者利用该漏洞进行攻击,该攻击被创宇盾智能引擎拦截,攻击失败。拦截日志如下:
从捕获到的数据分析来看,漏洞公布后,国内的攻击首先爆发,云防御平台监测到从12月10日0点开始,漏洞攻击次数直线上升,12月10日0点-16点,国内利用该漏洞进行攻击高达48820次,随后境外的攻击数量也不断增加。
图:漏洞公布后攻击趋势图
从国内被攻击的区域分布来看,被攻击的业务系统中,北京、云南是被攻击最多的地区。
图:国内被攻击区域分布图
从国内被攻击的行业分布来看,政府部门、高校、金融行业都是被攻击的重点对象。
图:国内被攻击行业分布图
创宇安全智脑捕获到的攻击IP TOP10如下:
同时知道创宇业务安全舆情监测平台监测到,目前已有包括CloudFlare、Apple、亚马逊等在内的许多世界知名科技公司受到影响:
大多数Java应用都使用了Log4j2,通过对该漏洞的利用情况分析,可以看出该漏洞带来的影响非常广泛,且危害极大。截止今日17:00,在知道创宇云监测ScanV MAX监测的范围内,有36%的系统都受到该漏洞影响,经初步验证,这些系统均为Java开发。
经知道创宇404积极防御实验室安全专家结合创宇安全智脑的大数据分析研判,由于该漏洞是远程代码执行漏洞,且利用门槛极低,漏洞的爆发后续可能会导致勒索病毒和DDoS攻击增多。
三:漏洞时间线
2021-11-25 16:15 知道创宇安全智脑捕获到疑似漏洞特征
2021-12-05 12:00 官方增加两处commit修复漏洞
2021-12-07 07:13 官方发布2.15.0-rc1 版本
2021-12-09 20:35 知道创宇404积极防御实验室成功复现漏洞,经测试创宇盾无需升级即可拦截
2021-12-09 21:20 发布漏洞风险提示
2021-12-09 22:35 上线ScanV Max插件,支持该漏洞检测
2021-12-10 02:14 官方紧急发布2.15.0-rc2版本修复rc1版本绕过问题
2021-12-10 08:40 CVE颁发漏洞编号:CVE-2021-44228
2021-12-10 10:46 CNVD颁发漏洞编号:CNVD-2021-95914
四:修复建议
1、官方已发布更新,受影响的系统请尽快更新到最新版本
(补丁地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2);
2、修改Java程序的启动参数:-Dlog4j2.formatMsgNoLookups=true;或修改Log4j2的配置项log4j2.formatMsgNoLookups=true;也可将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true;
3、使用新版本11.0+的JDK;老版本JDK建议更新为8u191、7u201或6u211,可以在一定程度上限制JNDI等漏洞利用方式;
4、接入知道创宇创宇盾(https://defense.yunaq.com/cyd/),无需升级默认即可拦截;
5、接入云监测ScanV MAX(https://www.scanv.com/),已完成更新支持该漏洞检测。
五:参考
- Apache Log4j2 官网:https://logging.apache.org/log4j/2.x/
- 官方漏洞补丁:https://github.com/apache/logging-log4j2/commit/d82b47c6fae9c15fcb183170394d5f1a01ac02d3
- https://github.com/apache/logging-log4j2/commit/04637dd9102175f765cfad349de0c2a63c279ac3
- Seebug收录链接:https://www.seebug.org/vuldb/ssvid-99398
- CNVD-2021-95914:https://www.cnvd.org.cn/flaw/show/CNVD-2021-95914
- CVE-2021-44228:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
热门文章
IBM官方发布WebSphere Application Server XXE漏洞(CVE-2020-4643)
2020年09月17日,IBM发布安全公告,WebSphere Application Server中存在一个安全漏洞,该漏洞是由于WebSphere Application Server在处理XML数据时容易受到XML外部实体注入(XXE)攻击。
FastAdmin远程代码执行0day漏洞(暂无编号)
2020年9月22日,FastAdmin远程代码执行漏洞细节曝光,黑客登录前台会员中心,即可远程GetShell,风险极大。
VMware官方发布Spring Framework反射型文件下载漏洞(CVE-2020-5421)
2020年9月17日,VMware发布安全公告,在Spring Framework版本5.2.0-5.2.8、5.1.0-5.1.17、5.0.0-5.0.18、4.3.0-4.3.28和较旧的不受支持的版本中,发现了一个存在于Spring Framework中的反射型文件下载(Reflected File Download,RFD)漏洞(CVE-2020-5421)。
关注知道创宇云安全
获取安全动态