近日，天融信阿爾法實驗室監(jiān)測到互聯(lián)網(wǎng)上公開發(fā)布了關于 Log4j2任意代碼執(zhí)行漏洞的利用代碼。Log4j2中存在JNDI注入漏洞，當程序將客戶輸入的數(shù)據(jù)進行日志記錄時，即可觸發(fā)此漏洞，成功利用此漏洞可以在目標服務器上執(zhí)行任意代碼。該組件應用范圍非常廣泛，如：Apache Struts2、Apache Solr、Apache Druid等開發(fā)框架及中間件中，漏洞相關細節(jié)與POC已在互聯(lián)網(wǎng)公開，漏洞利用簡單，危害巨大，建議客戶盡快開展自查并更新至最新版本或啟用安全防護產(chǎn)品以防御漏洞。

該漏洞理論上來講是log4j2本身的正常功能，只是該功能被惡意利用。關鍵點從MessagePatternConverter.format方法開始，首先該方法會判斷輸入的字符串中是否包含"${"

如果存在則會進入判斷中，調用config.getStrSubstitutor().replace(event, value)，問題config.getStrSubstitutor().replace(event, value)，config.getStrSubstitutor()執(zhí)行完成后返回一個StrSubstitutor對象，緊接著調用StrSubstitutor.replace方法，然后在該方法中又調用了substitute方法。

該漏洞會將"${}"中的內容當作表達式，從而進行遠程加載，在這里log4j2的本意應該是將ldap服務器上該地址中所記錄的東西加載到本地，來進行一個字符串替換。具體的調用棧如下：

受影響版本及相關產(chǎn)品

受影響版本

Apache log4j2 2.* <= Apache log4j2 2.15.1.rc1

主流相關產(chǎn)品

Spring-Boot-strater-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Flume

Dubbo

Redis

更多組件可參考如下鏈接：

https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1

漏洞檢測方法

手動檢測

1.白盒的情況下可以看代碼有沒有使用到Log4j2低版本的jar包來快速判斷。以Maven構建的項目為例，可以查看其pom.xml中是否添加了低版本log4j2的依賴。

2. 使用黑盒測試插入POC測試相關功能點是否存在漏洞。

天融信產(chǎn)品檢測

# 天融信脆弱性掃描與管理系統(tǒng) #

天融信脆弱性掃描與管理系統(tǒng)集成了系統(tǒng)漏掃、Web漏掃、數(shù)據(jù)庫漏掃、弱口令檢測、基線核查等功能，從多角度進行信息資產(chǎn)的脆弱性審計，提供專業(yè)的安全分析和修補建議。

目前天融信脆弱性掃描與管理系統(tǒng)已緊急更新Log4j2任意代碼執(zhí)行漏洞檢查插件，幫助客戶進行漏洞排查。

排查建議

天融信脆弱性掃描與管理系統(tǒng)針對此漏洞的規(guī)則庫更新如下圖：

天融信脆弱性掃描與管理系統(tǒng)針對該漏洞檢查結果如下圖所示 ：

排查方法

1. 在線自動升級，在“超級管理員”賬號【系統(tǒng)管理】→【插件庫升級】→【立即更新】→立即升級。

2.創(chuàng)建漏洞掃描任務，掃描完成后查看報告，如存在該漏洞，可按照報告中的修復建議進行“補缺”。

漏洞緩解方案

官方升級

1. Apache Log4j2 2.15.1.rc1已被發(fā)現(xiàn)存在繞過，現(xiàn)在需更新至最新版本2.15.1.rc2，下載地址如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2. 建議對相關聯(lián)主流產(chǎn)品如 Apache Struts2/Apache Solr/Apache Flink/Apache Druid 等已知受影響的應用及組件進行升級

臨時防護措施

1.在項目中添加log4j2.component.properties文件，在其中寫入內容log4j2.formatMsgNoLookups=true

2. 添加jvm啟動參數(shù)：

-Dlog4j2.formatMsgNoLookups=true

3. 系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true

4. 關閉對應應用的網(wǎng)絡外連，禁止主動外連。

天融信產(chǎn)品防護

天融信下一代防火墻、UTM、WAF、IPS、IDS、僵木蠕等產(chǎn)品規(guī)則庫均已升級完畢，可登錄ftp://ftp.topsec.com.cn升級中心下載最新升級包。

下一代防火墻產(chǎn)品（NGFW）、UTM產(chǎn)品

天融信已經(jīng)緊急發(fā)布特征庫升級包（ips-v2021.12.10.tir），可通過在線升級或離線升級的方式，即可對此攻擊進行檢測和防護。

點擊【系統(tǒng)管理】→【系統(tǒng)維護】→【系統(tǒng)更新】→【規(guī)則庫升級】，選擇“入侵防御特征庫”后點擊“導入”。

升級后可引用相關漏洞規(guī)則：

Web應用防火墻產(chǎn)品（TopWAF）

天融信已經(jīng)緊急發(fā)布特征庫升級包（waf-v2021.12.10），可通過在線升級或離線升級的方式，即可對此攻擊進行檢測和防護。

點擊【系統(tǒng)管理】→【系統(tǒng)維護】→【規(guī)則庫升級】，勾選“WAF規(guī)則庫”復選框，點擊“導入”。

升級后可引用相關漏洞規(guī)則：

入侵檢測產(chǎn)品（TopSentry）、入侵防御產(chǎn)品（TopIDP）、僵木蠕檢測產(chǎn)品（TopTVD）

天融信已經(jīng)緊急發(fā)布特征庫升級包（ips-v2021.12.10.tir、ngips-v2021.12.10.003.tor），可通過在線升級或離線升級的方式，即可對此攻擊進行檢測和防護。

點擊【系統(tǒng)】→【規(guī)則庫升級】，選擇“攻擊檢測規(guī)則庫”的復選框后，點擊“導入”。

升級后可引用相關漏洞規(guī)則：

天融信云端服務申請

天融信安全云服務依托云端大數(shù)據(jù)平臺，結合全國部署的探針節(jié)點及云服務運營團隊，7x24小時為客戶提供基于SaaS的網(wǎng)絡資產(chǎn)測繪、網(wǎng)站監(jiān)測、云防護以及威脅情報分析等服務。

目前天融信安全云服務平臺已具備對Apache Log4j2遠程代碼執(zhí)行漏洞的遠程檢測和防護能力。

資產(chǎn)暴露面檢測服務：對目標網(wǎng)絡快速、全面的探測，識別受“Log4j2”版本影響的資產(chǎn)信息，快速了解風險資產(chǎn)分布及設備詳情。

云檢測服務：線上接入，第一時間對客戶網(wǎng)絡環(huán)境進行漏洞掃描，快速排查是否存在此漏洞，安全專家遠程提供修復支持。

云WAF防護：基于AI的一站式Web業(yè)務風險防護服務，能夠實時保護網(wǎng)站安全，提高Web站點的安全性和可靠性。目前已升級規(guī)則并具備對該漏洞的防護能力。

詳情可咨詢天融信本地銷售，或通過公司郵箱，郵件發(fā)送至：

zhangkai@topsec.com.cn

yan_songqi@topsec.com.cn

咨詢熱線：

18310916559、13718958574