log4j漏洞修复方案,APACHE LOG4J远程代码执行漏洞( CVE-2021-44228)完整处置手册
log4j漏洞修复方案,APACHE LOG4J远程代码执行漏洞( CVE-2021-44228)完整处置手册详细介绍
本文目录一览: log4j2远程代码执行漏洞本地复现
---
**学习参考之用:切勿在真实环境中进行网络攻击行为**
一、背景介绍
Log4j2是Java语言中广泛使用的一种日志记录框架。然而,在2021年底,一个名为CVE-2021-44228的严重漏洞(也被称为Log4Shell)被发现,并由CVSS评为最高级别的10分。这一漏洞的危害性极大,因为攻击者无需服务器密码即可访问并操作服务器,且攻击方式简单,技术门槛较低。
受影响的Log4j2版本范围为:Apache Log4j2 2.0至2.14.1版本。接下来,我们将简要解析该漏洞的攻击原理,并演示如何进行操作。
二、攻击原理简述
设想一个网站场景,当用户尝试登录时,会经历一个标准的请求流程。若应用服务端的登录接口在利用存在漏洞的Log4j2版本时打印了请求参数的日志,那么就可能被恶意注入。具体机制如图所示。
三、复现步骤详解
为了更好地理解并复现这一漏洞,我们已经将相关代码放置在GitHub仓库中:log4j漏洞复现代码。以下是复现步骤的详细说明:
1. 关于JDK版本:作者使用jdk1.8.0_161和1.8.0_42成功复现了该漏洞,但在1.8.0_301版本中复现失败。值得注意的是,JDK6u211、7u201、8u191及之后的版本中,com.sun.jndi.ldap.object.trustURLCodebase选项默认为false,这禁用了LDAP协议使用远程codebase的选项,从而阻止了部分攻击途径。
2. 模拟被攻击的应用服务器:通过编写一个Springboot项目,模拟被攻击的应用服务端登录接口。该接口在打印userName参数日志时存在漏洞。启动该项目,并确保其监听在端口8080上。访问地址为127.0.0.1:8080/login。
3. 编写恶意代码:为演示目的,这里编写了一个删除服务器文件的恶意代码。实际上,攻击者可以使用反弹shell等技术执行更多有害操作。编译此代码以生成class文件。
4. 启动HTTP服务:为使上一步生成的.class文件可被访问,需启动一个HTTP服务。可以使用Python来快速搭建一个HTTP服务。进入.class文件的目录,并执行相关命令以启动服务。确保服务地址为127.0.0.1:4444/Exploit....可正常访问则表示设置成功。若无Python环境,也可使用Nginx等其他服务器软件。
5. 启动LDAP服务:利用GitHub上的代码(如GitHub-mbechler/marshalsec)来运行LDAP服务。按照图示进行编译和启动。命令中的地址应与第四步中的HTTP服务地址相匹配,而端口通常使用LDAP服务的默认端口1389,无需修改。
6. 发起攻击请求:在C盘创建一个1.txt文件,并使用恶意构造的参数访问登录接口。在LDAP服务的控制台中,应能看到相关日志,表明log4j已尝试访问LDAP服务。同时,在HTTP控制台中也能看到请求日志,这表明应用服务器已尝试从HTTP服务器加载Exploit.class文件。通过调试Exploit源代码,可以确认恶意代码已执行,从而成功复现该漏洞。
四、注意事项
在进行上述操作时,请务必注意以下几点:
* 确保操作环境的安全,避免在真实环境中进行测试。
* 仅供学习参考之用,切勿用于非法行为。
* 在进行任何网络操作时,请确保遵守相关法律法规及网络安全规定。
APACHE LOG4J远程代码执行漏洞( CVE-2021-44228)完整处置手册
Apache Log4j远程代码执行漏洞(CVE-2021-44228)已造成广泛影响。由于Apache Log4j2的部分功能支持递归解析,攻击者能通过精心构造的数据请求包,在目标服务器上执行任意代码。这给相关用户带来了严重的安全隐患。
为应对此漏洞,我们强烈建议相关用户迅速采取排查与防护措施。官方已经发布多个修复版本,如Apache Log4j2.15.0-rc2版本增强了urI异常处理能力,而Apache Log4j2.15.1-rc1版本则直接禁用了JNDI功能,以增强安全性。
若业务仍需使用lookup功能,我们推荐升级至Apache Log4j2.15.1-rc1版本,并手动设置log4j2.formatMsgNoLookups的默认值为false,以降低风险。该漏洞不仅影响了Log4j本身,还波及到了包括Jedis、Logging、Logstash、HikariCP等在内的众多供应链产品,如HadoopHive、ElasticSearch、ApacheSolr、ApacheStruts2等。
为有效检测此漏洞,可采取多种检测方式。人工检测可通过检查Java jar解压后的特定路径结构以及查看pom.xml和build.gradle文件中的版本号来确认受影响程度。攻击排查则需关注应用系统报错日志中的特定关键词以及攻击者可能使用的数据包特征。此外,还可利用产品检测工具,如绿盟科技的远程安全评估系统、WEB应用漏洞扫描系统等。
为确保安全,应采取官方推荐的升级至最新版本、产品防护措施(如更新网络和WEB应用防护系统)以及临时防护措施。临时防护措施包括调整jvm参数、配置log4j2.component.properties文件、设置系统环境变量、移除特定类文件、使用高版本JDK等。同时,为监测可疑域名访问,可使用公共DNSlog平台。
绿盟企业安全平台和绿盟智能安全运营平台提供了强大的平台监测能力,已部署绿盟科技平台类产品的用户可利用这些平台实现对漏洞的实时监测。请各相关单位及个人务必重视此问题,及时采取措施,确保系统和数据的安全。