摘要:本文从漏洞复现、漏洞防护、漏洞检测、软件供应链安全等方面,介绍安全人针对Log4j2漏洞的应对策略。
Apache Log4j2是广泛应用于Java开发领域的一款日志记录框架。Log4j2漏洞因其影响范围广、危险程度高(可能导致设备远程受控,引发敏感信息窃取、服务中断等严重后果)而成为业内知名漏洞。面对Log4j2,安全领域的人士采取了多种措施来应对。接下来,本文将从四个维度介绍安全人士的应对策略。
1. Log4j2漏洞复现
在Log4j2漏洞刚曝光时,就有各种复现实例出现,主要涉及利用JNDI注入漏洞执行任意代码。复现的过程通常包括两部分:一是基于Log4j2开发的、自身存在漏洞的代码实现;二是搭建JNDI服务,如使用marshalsec、JNDI-Injection-Exploit等工具快速启动RMI或LDAP服务。这类实现与Log4j2漏洞本身关系不大,但涉及到搭建JNDI服务的相关知识。
2. Log4j2漏洞防护
面对Log4j2漏洞,安全防护措施包括公告提醒、使用Web应用防火墙、网关等产品进行外部请求拦截,以及采用基于字节码增强技术(RASP)的安全防护、流量监控等方法。
公告提醒:各大厂商及时发布公告,提醒用户升级Log4j2版本。
外部请求拦截:Web应用防火墙和网关产品可以拦截外部请求,通过配置规则检测参数是否包含漏洞特征,进行漏洞预警。
字节码增强技术(RASP):基于Java字节码增强的工具可以在程序运行时动态修改代码,实现对Log4j2日志打印内容的校验和拦截。
流量监控:检查异常流量,检测是否存在利用Log4j2漏洞的攻击。
3. Log4j2漏洞检测
Log4j2漏洞检测主要分为两种情况:在未知存在漏洞的情况下,如何检测潜在的JNDI注入漏洞;以及已知Log4j2特定版本有此漏洞时的排查。
静态代码分析工具CodeQL提供了检测该漏洞的规则,通过代码分析发现可能存在的安全风险。
4. 软件供应链安全提示
软件供应链安全涉及软件开发、分发、使用的全链条。Log4j2作为基础日志库,影响了全球数万个开源软件组件,因此软件供应链安全风险不容忽视。
墨菲安全实验室建议从第三方软件管理、供应链资产识别与管理、漏洞检测与修复能力提升等方面入手,以确保软件供应链安全。
综上所述,面对Log4j2漏洞,安全领域的人士采取了从复现实验、防护策略、漏洞检测到软件供应链安全多维度的应对措施,以有效防范潜在的安全风险。
面对Log4j2 漏洞,安全人都做了什么?
综上所述,面对Log4j2漏洞,安全领域的人士采取了从复现实验、防护策略、漏洞检测到软件供应链安全多维度的应对措施,以有效防范潜在的安全风险。
Log4j史诗级漏洞,我们这些小公司能做些什么?
12月10日,看到朋友圈中已经有人在通宵修改、上线系统了。随即,又看到阿里云安全、腾讯安全部门发出的官方报告:” Apache Log4j2存在远程代码执行漏洞 “,且漏洞已对外公开。看到相关消息,马上爬起来把所有项目的日志系统过滤一遍,还好老项目采用的log4j,新项目采用的logback,没有中招。随后就看...
长亭科技:安全运营视角Log4j2 漏洞应急最佳实践(附下载文档)
长亭科技的Log4j2专项应急手册,详细阐述了应急处置的四大步骤,包括应急防护与检测策略的更新、漏洞的网络和主机检测、漏洞修复策略,以及影响面的全面分析。在应急防护方面,长亭科技建议通过边界安全设备和RASP技术(开源版本)针对Log4j2漏洞进行防护,同时更新安全产品策略以阻断攻击。检测方面,长亭科技提供了...
高危Bug!一众大厂中招,Apache Log4j2 远程代码执行漏洞:官方正在...
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码。Apache Lo...
从Log4j2原理、攻击和解决方案来聊聊这次全球性的Log4j2漏洞
首先,Log4j2的任意代码执行漏洞被阿里安全团队曝光,严重威胁到系统的安全。在理解漏洞之前,需要掌握Log4j2的基本工作原理。Log4j2利用Lookups功能,允许输出程序之外的对象,这为攻击者提供了可乘之机。Lookups接口就像一个数据获取工具,允许通过指定名称获取不同数据源的信息,如Java命名和目录接口(JNDI)...
腾讯安全刚刚给出了Log4j2核弹级漏洞线上修复方案!紧急修复
2月9日晚,Apache Log4j2反序列化远程代码执行漏洞细节已被公开,Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。
Apache Log4j2远程代码执行漏洞
一、情况分析 近日,监测发现互联网中出现 Apache Log4j2 远程代码执行漏洞。攻击者可利用该漏洞构造特殊的数据请求包,最终触发远程代码执行。由于该漏洞影响范围极广,建议广大用户及时排查相关漏洞。Apache Log4j2是一个基于Java的日志记录工具。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架...
Log4j2远程代码执行漏洞检测和防护策略研究
漏洞检测需覆盖所有可能接收参数的地方,包括get、post、cookie,以及与ip相关的HTTP头。重点关注useragent、referer以及可能记录日志的请求头。总结 本文提出Log4j2远程代码执行漏洞的检测与防护策略,涵盖流量层面的识别与拦截,以及关键特征的深入分析。通过自研的检测工具,为用户提供本地漏洞检测服务。同时,...
烽火狼烟丨Apache Log4j2远程代码执行漏洞(CVE44832)通告
近日,WebRAY安全服务部监测到编号为CVE-2021-44832的Apache Log4j2远程代码执行漏洞。攻击者可以通过修改配置文件中JNDI 动态及远程获取数据库源处插入恶意代码,造成远程代码执行漏洞,但想要成功利用该漏洞需要攻击者有权限修改Log4j2的配置文件,利用难度较高。WebRAY安全服务部建议相关用户采取安全措施防止...
【预警通报】关于Apache Log4j2远程代码执行漏洞的紧急预警通报_百度...
一、漏洞情况 Apache Log4j2是一个基于Java的日志记录工具,存在JNDI注入漏洞,开发者可能会将用户输入导致的错误信息写入日志中,当程序将用户输入的数据进行日志记录时,即可触发此漏洞。二、影响范围 Apache log4j2 2.0 - 2.14.1 版本均受影响。三、处置建议 请广大用户更新官方安全补丁或升级到最新...
