突發(fā)，Log4j2 爆出遠(yuǎn)程代碼執(zhí)行漏洞，各大廠紛紛中招！

近日，網(wǎng)絡(luò)上出現(xiàn) Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包，最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。由于該漏洞影響范圍極廣，建議廣大用戶及時(shí)排查相關(guān)漏洞，經(jīng)過(guò)白帽匯安全研究院分析確認(rèn)，目前市面有多款流行的系統(tǒng)都受影響。

log4j作為眾多軟件廣泛引入的類庫(kù)，漏洞影響范圍太大了，據(jù)說(shuō)各大廠程序員半夜被叫起來(lái)加班加點(diǎn)修復(fù)。

漏洞描述

Apache Log4j2 是一個(gè)基于 Java 的日志記錄工具。該工具重寫了 Log4j 框架，并且引入了大量豐富的特性。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來(lái)記錄日志信息。

在大多數(shù)情況下，開發(fā)者可能會(huì)將用戶輸入導(dǎo)致的錯(cuò)誤信息寫入日志中。攻擊者利用此特性可通過(guò)該漏洞構(gòu)造特殊的數(shù)據(jù)請(qǐng)求包，最終觸發(fā)遠(yuǎn)程代碼執(zhí)行。

該漏洞危害等級(jí)：嚴(yán)重

影響范圍

2.0 <= Apache log4j2 <= 2.14.1

影響判斷方式：用戶只需排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個(gè)jar。若存在應(yīng)用使用，極大可能會(huì)受到影響。

漏洞復(fù)現(xiàn)

Vulfocus 靶場(chǎng)環(huán)境

目前 Vulfocus 已經(jīng)集成 Log4j2 環(huán)境，可通過(guò)以下鏈接啟動(dòng)環(huán)境測(cè)試：

http://vulfocus.fofa.so/#/dashboard?image_id=3b8f15eb-7bd9-49b2-a69e-541f89c4216c

也可通過(guò)?docker pull vulfocus/log4j2-rce-2021-12-09:latest?拉取本地環(huán)境運(yùn)行。

修復(fù)建議

1、排查應(yīng)用是否引入了Apache Log4j2 Jar包，若存在依賴引入，則可能存在漏洞影響。請(qǐng)盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的 log4j-2.15.0-rc2 版本，地址 https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、升級(jí)已知受影響的應(yīng)用及組件，如 spring-boot-starter-log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

快看看你們中招沒(méi)~~

參考

[1] https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

[2] [LOG4J2-3201] Limit the protocols jNDI can use and restrict LDAP. - ASF JIRA (apache.org)

[3] ASF Git Repos - logging-log4j2.git/blob - log4j-core/src/test/java/org/apache/logging/log4j/core/lookup/JndiRestrictedLookupTest.java