近日,安全狗应急响应中心监测到Apache Log4j 2 被披露出存在潜在反序列化代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。
Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。
使用 Log4j 2 在一定场景条件下处理恶意数据时,可能会造成注入类代码执行。
安全狗复现效果如下:
安全通告信息
据悉,此次漏洞影响范围广泛,漏洞危害程度高。安全狗应急响应中心提醒广大用户注意防范。
处置措施
一、【官方】:
1.官方暂未发布正式漏洞补丁及修复版本,请密切关注官方最新版本发布,并关注服务器的异常行为。
用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包。如有使用可考虑使用如下官方临时补丁进行修复:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1
2.临时关闭log功能。
二、【安全狗解决方案】:
1.安全狗云眼:新一代云主机入侵监测及安全管理平台
作为新一代云主机入侵监测及安全管理平台,安全狗云眼由资产管理、安全体检、安全监控、漏洞风险、入侵威胁、合规基线、威胁情报等多个功能模块组成。各个模块进行联动,模块间数据联通,形成闭环系统,不管是在攻防实战期间或者面对此次高危敏感案例,安全狗云眼都能为防守方提供强有力的采集、检测、监测、防御、捕获能力,对主机进行全方位的安全防护。
面对此次Apache Log4j 2 远程代码执行漏洞,云眼也能通过事前-资产梳理、应急漏洞,事后-进程监控快速检出。
安全狗云眼可检测到log4j资产
安全狗云眼准确识别漏洞
2.安全狗云御:新一代混合式web应用防护系统
云御是一款新一代混合式Web防火墙产品,通过网络层过滤和主机应用层自保护(RASP)相结合的技术,既能够过滤传统常见的攻击又可以对异常变形和未知漏洞的高级攻击进行识别,达到双层纵深防御的效果。
对于此次Apache Log4j 2 远程代码执行漏洞,安全狗云御的HTTP安全监测等相关功能可有效防护该攻击。