长亭科技:安全运营视角Log4j2 漏洞应急最佳实践(附下载文档)

阅读量    10277 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

万字内容,最全实操手册。
五种漏洞检测方案
三项漏洞缓解措施
主机端和流量侧影响面分析

长亭科技Log4j2 专项最佳实践手册,从应急处置关键四步一步步实操。

以下内容为部分节选,完整版请点击https://jinshuju.net/f/fsED7Z 下载。


漏洞信息

Apache Log4j2 是一个基于 Java 的日志记录工具。现在则是 Apache 软件基金会的一个项目。Log4j2 是几种 Java 日志框架之一,该日志框架被大量用于业务系统开发,用来记录日志信息。

2021年12月6日,官方发布 Log4j-2.15.0-rc1 版本,在该版本中官方修复了一处远程代码执行漏洞。

目前该漏洞相关细节已经开始在网络上流传,长亭安全研究人员经过研判确认此漏洞危害极高,且利用复杂度极低。

漏洞描述

Log4j2 在进行日志记录时存在缺陷,只要攻击者可以控制部分日志内容,即可插入自己精心构造的恶意数据,导致 Log4j2 对其进行解析时触发漏洞,执行恶意代码,攻击者从而可接管服务器。

由于 Log4j2 作为日志记录的基础第三方库被大量 Java 框架及应用使用,且只要用到 Log4j2 进行日志输出且日志内容由攻击者部分可控,即可能会受到漏洞攻击影响。

影响范围

Apache Log4j2 2.0 – 2.14.1 版本范围内均受到漏洞影响。

 

应急流程指引

长亭科技发布的 Log4j2 专项最佳实践手册包含漏洞检测、漏洞修复(缓解)、漏洞防护等方法,内容不限于长亭自有产品方案,也可使用长亭科技发布免费工具作为应急措施。

应急处置四步走:

1.应急防护与检测策略更新

更新相关安全产品设备策略,及时阻断漏洞相关攻击行为;

2.漏洞检测
通过网络检测或主机检测确认漏洞服务相关信息;

3.漏洞修复(缓解)
修复漏洞或实施缓解方案;

4.影响面分析
确认是否已经被攻击或存在可疑攻击行为;

 

应急防护与检测策略更新

根据 Log4j2 漏洞利用特点,可以优先通过边界和主机两端进行防护,通过边界安全防护设备检测流量中是否存在漏洞利用攻击特征:

  • 边界防护 – WAF防护策略:长亭雷池 WAF 防护策略;
  • 边界防护 – 自定义规则策略:第三方自定义防护策略,可通过自定义正则匹配应用于各类安全产品,但不建议作为唯一防护手段,根据长亭安全团队的反馈,我们已经看到存在混淆的攻击 Payload 尝试绕过字符匹配检测,如:(${$ {::-j}${::-n}${::-d}${::-i})。

通过主机端可使用长亭科技 RASP 技术方案(开源版),一款用于 Log4j2 漏洞的疫苗,基于Instrumentation 机制进行 RASP 防护:

  • 主机防护 – RASP 防护策略,Linux、Windows 平台通用版;

长亭科技专家建议及时更新安全产品的防护(检测)策略,流量检测类产品也可以参考第三方自定义规则防护策略作为应急策略:

  • 流量监测 – 第三方自定义防护策略,可通过自定义正则匹配应用于各类安全产品,但不建议作为唯一防护手段,根据长亭安全团队的反馈,我们已经看到存在混淆的攻击 Payload 尝试绕过字符匹配检测,如:(${$ {::-j}${::-n}${::-d}${::-i})。

漏洞检测

长亭科技提供多种漏洞检测方法,用户可根据自身条件选择最优方法:

1.网络扫描检测(仅限于洞鉴商业版用户),具体操作步骤见后:网络扫描器检测;

2.离线本地检测(仅限于牧云商业版用户),具体操作步骤见后:离线本地检测;

3.离线本地检测(牧云 Log4j2 专用工具,可直接下载),具体操作步骤见后:离线本地检测;

4.在线文件上传检测(长亭官方在线检测工具,上传 jar 包直接检测),具体操作步骤见后:在线文件上传检测;

5.互联网边界漏洞检测,长亭科技可提供企业边界远程免费漏洞检测,具体联系长亭客户销售。

漏洞修复

目前官方已发布修复方案,建议通过升级修复漏洞,具体操作见后:修复方案一。若无法升级可以参考:修复方案二(官方认可的方案)。

经安全研究人员发现,采用修改jvm参数、系统环境变量、修改配置三种缓解措施均在绕过的风险,详细分析见后:临时缓解措施绕过分析,建议未修复或者已经采用了缓解措施的用户参考修复方案对漏洞进行修复。

上述方案仅为文档编写时验证的部分方案,用户可视情况使用其他漏洞修复方案。

影响面分析

长亭科技专家已发现互联网大量扫描行为,也观察到攻击和攻击后的行为。根据漏洞特点,一旦攻击者发现应用服务,便可以通过利用程序直接获取目标主机权限,建议重点关注以下行为特征:

  • 主机端:可重点关注命令执行、反弹shell等行为,可参考:牧云安全监测(文档内调整);
  • 流量侧:根据攻击特征 $%7Bjndi: 、 ${jndi: 等,通过全流量回查的功能,在历史流量中快速查询是否被攻击。

Log4j2漏洞持续升温,危害极高又利用复杂度低,企业自查自修复刻不容缓!

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多