Apache Log4j2漏洞威脅覆蓋全行業(yè)!360發(fā)布整體安全防護解決方案

發(fā)布時間:2021-12-10 20:02:45  |  來源:通信世界全媒體  

(CWW)12月9日,360政企安全集團監(jiān)測到Apache 官方于2021年12月07日發(fā)布了log4j-2.15.0-rc1版本。經(jīng)360政企安全集團安全專家研判,該版本存在繞過風(fēng)險,具有安全隱患。廠商已發(fā)布最新版本log4j-2.15.0-rc2,請廣大用戶盡快更新。

該組件在開啟了日志記錄功能后,凡是在可觸發(fā)錯誤記錄日志的地方,插入漏洞利用代碼,即可利用成功。若該組件記錄的日志會包含其他系統(tǒng)的記錄日志,則有可能造成間接投毒。通過中間系統(tǒng),使得組件間接讀取了具有攻擊性的漏洞利用代碼,亦可間接造成漏洞觸發(fā)。

經(jīng)360漏洞云安全專家研判,log4j2是全球使用廣泛的java日志框架,同時該漏洞還影響很多全球使用量的Top序列的通用開源組件,例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。該漏洞利用方式簡單,危害嚴重,官方已經(jīng)發(fā)布該產(chǎn)品的最新版本,建議用戶盡快升級組件,修復(fù)緩解該漏洞。

漏洞影響面分析

通過Google搜索引擎對依賴該組件的產(chǎn)品、其他開源組件分析,發(fā)現(xiàn)有310個產(chǎn)品、開源組件依賴了Apache Log4j2 2.14.1的版本。

根據(jù)網(wǎng)絡(luò)空間測繪系統(tǒng)Quake探測的全網(wǎng)使用Java語言編寫的產(chǎn)品部署量如下圖所示:

從使用量全球Top5的統(tǒng)計表中可以看出,Java開發(fā)語言的使用量第一名是美國,第二名是中國,且中美的使用量幾乎持平。

在國內(nèi)Java開發(fā)的組件的部署量重點地區(qū)是北京市、廣東省、浙江省、上海市以及香港特別行政區(qū)。

綜上,根據(jù) Log4j2本身的使用量、影響量,再根據(jù)Java語言開發(fā)的產(chǎn)品組件的全球分布和國內(nèi)分布,可大致推算出本次Log4j2漏洞在全球影響最大的地區(qū)是中國和美國,在國內(nèi)需要著重關(guān)注的地區(qū)是 北京、上海、廣東、浙江、香港。

由于此次漏洞組件屬于Java產(chǎn)品的基礎(chǔ)組件,漏洞影響面覆蓋全行業(yè)。凡是使用了Java作為開發(fā)語言研發(fā)產(chǎn)品的企業(yè),或者使用了Java語言開發(fā)的產(chǎn)品的企業(yè),企業(yè)內(nèi)部均需要自查自身的安全隱患。

鑒于該漏洞危害嚴重,利用方式簡單,影響廣泛,360政企安全集團緊急預(yù)警并成立應(yīng)急事件小組,研究應(yīng)對本次事件的用戶對策,目前已經(jīng)上線包含檢測、防御、修復(fù)等在內(nèi)的整體解決方案,用戶可根據(jù)自身情況安裝使用,全面消除安全隱患。

修復(fù)及建議

1) 盡快通過參考鏈接中官網(wǎng)地址升級到最新版本:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2) 配置網(wǎng)絡(luò)防火墻,禁止系統(tǒng)主動外連網(wǎng)絡(luò),包含不限于DNS、TCP/IP、ICMP。

3) 升級已知受影響的應(yīng)用及組件,如srping-boot-strater-log4j2、ApacheSolr、Apache Flink、Apache Druid。

4) 排查日志集中管理服務(wù)器,以及基于java開發(fā)的商業(yè)軟件,以及其他可能存在隱患的基礎(chǔ)環(huán)境。

5) 緊急加固緩解措施:

①設(shè)置參數(shù):

log4j2.formatMsgNoLookups=True

②修改JVM參數(shù):

-Dlog4j2.formatMsgNoLookups=true

③系統(tǒng)環(huán)境變量:

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設(shè)置為true

④禁止 log4j2 所在服務(wù)器外連

6) 同時建議您使用360相關(guān)安全產(chǎn)品及服務(wù),為您保駕護航。

360政企解決方案

1. 360本地安全大腦

360本地安全大腦針對該漏洞威脅,第一時間發(fā)布安全更新,可實現(xiàn)針對該漏洞的主動檢測,助力全面攔截利用該漏洞發(fā)起的攻擊,請廣大用戶及時更新檢測規(guī)則。

由于已存在在野的poc利用,360本地安全大腦監(jiān)測發(fā)現(xiàn)部分攻擊者利用公共dnslog平臺進行漏洞探測情況(本腦已內(nèi)置dnslog檢測規(guī)則),請及時關(guān)注dnslog相關(guān)攻擊域名訪問。

360本地安全大腦是360基于云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù),將云端安全大腦核心能力本地化部署的一套統(tǒng)一安全平臺?;谶@個平臺通過模塊化組合開發(fā)了一系列場景化解決方案。針對高危漏洞的攻擊,運營人員可根據(jù)安全告警,結(jié)合產(chǎn)品能力實現(xiàn)對攻擊行為的分析、溯源、處置。

2. 360高級持續(xù)性威脅預(yù)警系統(tǒng)

360高級持續(xù)性威脅預(yù)警系統(tǒng)(360NDR)產(chǎn)品能快速檢測Log4j2遠程代碼執(zhí)行漏洞利用的情況。360NDR產(chǎn)品檢測情況:

用戶可在360NDR的”統(tǒng)一告警”頁面和”流量攻擊/遠程漏洞攻擊”頁面,查看是否有黑客利用該漏洞的進行攻擊,如有,建議手動或者聯(lián)動防火墻對攻擊IP進行阻斷。

360NDR產(chǎn)品更新方式:如果用戶可連互聯(lián)網(wǎng),點擊在線更新即可;如果用戶為內(nèi)網(wǎng)環(huán)境,不能連互聯(lián)網(wǎng),請聯(lián)系360安全服務(wù)團隊,進行離線升級。

360NDR,全稱360高級持續(xù)性威脅預(yù)警系統(tǒng),是一款專門應(yīng)對高級網(wǎng)絡(luò)威脅的新一代智能安全產(chǎn)品,系統(tǒng)旁路部署網(wǎng)絡(luò)出口,對網(wǎng)絡(luò)流量進行深度分析,檢測零日漏洞(0DAY)、高級木馬、遠程控制和滲透行為等網(wǎng)絡(luò)攻擊和失陷資產(chǎn),并存儲原始攻擊PCAP包和文件,提供可視化溯源分析和防火墻聯(lián)動,幫助用戶快速構(gòu)建威脅檢測、分析、溯源到響應(yīng)處置閉環(huán)流程。

3. 360資產(chǎn)管理與威脅探測系統(tǒng)(天相)

鑒于此漏洞的高危影響,360資產(chǎn)管理與威脅探測系統(tǒng)(360天相)第一時間發(fā)布了POC插件,能夠主動檢測該高危漏洞風(fēng)險,保護不同領(lǐng)域客戶的數(shù)據(jù)和財產(chǎn)安全。已經(jīng)部署360天相的客戶可以通過在線更新的方式自動化更新POC插件,未部署的客戶可聯(lián)系360安全服務(wù)團隊,在安裝部署最新版360天相后,通過前往情報-漏洞情報處一鍵下發(fā)POC檢測任務(wù),新客戶建議先發(fā)起資產(chǎn)測繪任務(wù),再發(fā)起POC檢測任務(wù)。

360安全大腦經(jīng)研判發(fā)現(xiàn),如果想要檢測到該漏洞,就必須需要找到該漏洞的實際路徑。但常規(guī)POC檢測大多僅為主頁或者默認路徑。因此,在360安全大腦的賦能下,360天相通過基于web引擎和POC檢測相結(jié)合的方式,采用爬蟲測繪能力,能夠進一步發(fā)現(xiàn)web站點的實際訪問路徑,從而發(fā)現(xiàn)更深層級的漏洞路徑。同時,基于深層級URL進行的POC檢測,可助力360天相提供到較常規(guī)POC檢測更全面的檢測能力。

4. 360云探安全監(jiān)測系統(tǒng)

360云探安全監(jiān)測系統(tǒng)是一款面向黨政軍、金融、教育和互聯(lián)網(wǎng)用戶的綜合型SaaS化網(wǎng)站應(yīng)用安全監(jiān)測服務(wù)產(chǎn)品,可有效監(jiān)測網(wǎng)站的異常,發(fā)現(xiàn)企業(yè)網(wǎng)站的安全問題,目前已可以針對此漏洞進行安全監(jiān)測。

5. 360磐云安全防護系統(tǒng)

360磐云安全防護系統(tǒng)是集合網(wǎng)站配置、防護、加速、管理于一體的基于SaaS化安全防護產(chǎn)品,旨在解決用戶網(wǎng)站安全問題,目前已可以針對此漏洞進行安全防護。

6. 360安全服務(wù)

360云端安全專家提供7*24小時持續(xù)的安全保障服務(wù),在漏洞爆發(fā)之初,云端安全專家即對用戶的網(wǎng)絡(luò)環(huán)境進行漏洞掃描,保障第一時間檢查用戶是否存在此漏洞,針對存在漏洞的用戶,檢查并更新防護設(shè)備策略,確保用戶防護設(shè)備可以防護此漏洞風(fēng)險。


關(guān)鍵詞: 資訊 通信世界網(wǎng) 360 政企 安全 漏洞 系統(tǒng) 風(fēng)險

 

網(wǎng)站介紹  |  版權(quán)說明  |  聯(lián)系我們  |  網(wǎng)站地圖 

星際派備案號:京ICP備2022016840號-16 營業(yè)執(zhí)照公示信息版權(quán)所有 郵箱聯(lián)系:920 891 263@qq.com