Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

来源: 云巴巴 2021-12-13 15:33:49

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。

漏洞情况

此次危机由Lookup功能引发,Log4j2在默认情况下会开启Lookup功能,提供给客户另一种添加特殊值到日志中的方式。此功能中也包含了对于JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用中,从而造成RCE。

影响范围

Log4j2做为apache推出的一款主流日志框架,使用范围广大,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

单从Maven仓库中看,存在漏洞的Log4j-core的直接应用就高达将近七千:

图片

而在直接应用了Log4j-core的依赖中,就包含了SpringBoot、JBoss、Solr等十分流行的框架,

图片

漏洞几乎影响所有使用Log4j2 2.15.0的用户,包含2.15.0-rc1也已经有绕过手法流出。

针对此漏洞,阿里云快速响应,已更新各安全产品规格,实现流量+应用+主机侧的全面防御,阿里云安全也建议Apache Log4j2用户尽快采取安全措施阻止漏洞攻击。

云上流量检测

双重防护

第一重:Web应用防火墙规则更新

面对漏洞的来势汹汹,Web应用防火墙作为流量防控先锋军,在原有规则上已具备JNDI注入防护能力,目前已更新对Apache Log4j 2.x的JNDI注入利用的增强防护规则:

图片

(图:阿里云Web应用防火墙规则更新情况)

第二重:云防火墙双向拦截

阿里云云防火墙也已完成规则更新,可对利用Apache Log4j2 远程代码执行漏洞发起的dnslog访问、反弹shell、jndi注入等攻击,以及此漏洞的探测结果外联行为等实时检测,并及时进行拦截。

用户可按如下步骤进行检测防御:

1.云上客户可以通过【云防火墙->攻击防护->防护配置->威胁引擎运行模式】一键开启拦截模式,开启后云防火墙将自动拦截攻击行为。

图片

2.虚拟补丁能有效的帮助企业用户争取漏洞修复时间,避免应用程序的修复重启给业务带来不必要的风险与中断,通过【虚拟补丁->自定义选择】可以查看当前虚拟补丁类型、明细和当前动作。

图片

3.入侵防御界面通过对攻击聚类,实时显示攻击来源、攻击分布、阻断目的/来源TOP信息,方便进行溯源分析、事件排查和应急防御。

图片

阿里云云上RASP

天然防护

不同于传统基于流量特征的防御方式,RASP(Runtime Application Self-Protection)作为一款基于行为和应用运行时上下文的防御产品,不会陷入特征穷举,而更加关注「正常基线」,即一个应用的正常使用行为有哪些,如果这个行为(如命令执行)不属于该功能的正常操作,则会进行拦截。

而此次的Log4j2漏洞,作为一款日志框架,相比起记录日志等类型的正常行为,进行命令注入、执行,本身就是一个明显的异常行为。RASP在默认规则下,会拦截掉所有因反序列、JNDI注入导致的命令执行、任意文件读取、恶意文件上传等危险行为。此次漏洞,系Log4j2的JNDI功能造成的命令执行漏洞,完全处在RASP覆盖场景之中,无需新增规则也能默认防御。

用户可按如下步骤完成检测防御:

1、登录ARMS控制台;

图片

说明:探针版本要求>=2.7.1.3,应用首次开启接入ARMS应用安全,需要重启应用实例才会生效

2、在左侧导航栏,选择应用安全 > 攻击统计页面:

 

(图:阿里云RASP成功捕获到Log4j2漏洞利用与探测行为)

当受到Log4j2远程代码执行漏洞攻击时,ARMS应用安全会识别上报攻击行为事件,客户还可以通过配置告警规则,通过短信、钉钉、邮件等渠道接收攻击告警通知。

3、危险组件自动检测:在左侧导航栏,选择应用安全 > 危险组件检测,针对三方组件依赖自动分析关联CVE漏洞库并提供修复建议。

图片

4、危险组件全量自查,用户可通过搜索查看所有接入应用是否包含Log4j组件,并确定Log4j组件的版本

图片

(图:阿里云RASP在组件中发现Log4j组件)

此外,阿里云云盾WAF提供7天免费漏洞应急服务,为用户争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR

云安全中心

一键漏洞检测

在流量侧进行的漏洞发现与阻断防御,都是为最终修复漏洞争取宝贵的时间。阿里云云安全中心应用漏洞模块已支持一键检测:

图片

阿里云安全建议

修复升级

1、排查应用是否引入了Apache Log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 Log4j-2.15.0-rc2 版本,地址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2

2、升级已知受影响的应用及组件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink

3、可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

安全建设

1、尽可能杜绝对外开放端口,加强对企业内部应用的证书验证管控,最大可能减少外网攻击面;

2、在外网开启Web应用防火墙+RASP组合,采取基于行为和应用运行时上下文的防御产品;

3、在安全配置评估中,严格控制开源软件安全,并自建内部安全版本库,及时更新;

4、建立多层检测防御体系,采用内网多层隔离,并全面提升威胁检测能力。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

行业专家共话“勒索软件”,医疗领域如何打造安全防护罩?

行业专家共话“勒索软件”,医疗领域如何打造安全防护罩?

随着远程医疗、医疗物联网、身联网、体联网、医疗设备的融合发展,健康医疗领域面临着前所未有的网络安全风险,同时也沦为勒索病毒重灾区。

2021-12-14 17:55:21

【安全技巧】勒索病毒文件解密好思路:nomoreransom.o

【安全技巧】勒索病毒文件解密好思路:nomoreransom.o

勒索软件攻击通常通过可执行文件、存档或图像等电邮附件来传递。打开附件后,恶意软件将被释放到用户的系统中。网络罪犯也可以在网站上种植恶意软件。当用户不知不觉浏览该网站时,恶意软件已被释放到系统中。

2021-12-03 15:24:45

宜家遭遇钓鱼电子邮件持续攻击

宜家遭遇钓鱼电子邮件持续攻击

近日,宜家遭遇了持续的钓鱼电子邮件攻击,攻击者使用回复电子邮件的方式在宜家内部网络钓鱼攻击其员工。

2021-12-02 15:58:34

韩国全国断网,是谁发动了网络“攻击”?

韩国全国断网,是谁发动了网络“攻击”?

腾讯云主机安全(CWP),基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供木马文件查杀、黑客入侵检测、漏洞风险预警、安全基线合规检查、业务资产组件清点等。

2023-09-04 16:39:11

如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)

2021-12-14 17:22:18

【安全运营】XDR在安全运营中的理解

【安全运营】XDR在安全运营中的理解

面对日新月异的攻击技术,XDR(跨层检测与响应)在 EDR(端点检测与响应)、NTA(网络流量分析)、SOAR(安全编排、自动化和响应)和SIEM(安全信息与事件管理)等主流安全方案有哪些差异,又该如何定位其应用场景,XDR又如何提升企业安全性?

2021-12-03 14:28:48

严选云产品

魔镜市场情报 魔镜市场情报,电商数据采集分析系统。捕捉高增长概念,洞察高增长品牌,挖掘高增长行业。品牌和电商平台的高效价格监测服务,高频监控商品价格,异常价格自动警报。满足个性化需求的数据分析工具,超灵活筛选条件,高定制化商品分类。
腾讯云 智能公播店铺音乐解决方案 智能公播,是一种搭载音频广播管控软件+公播版权音乐二合一的产品,比如,商场、公园、飞机场、地铁站、或者是行政办公大厅、医院、酒店等,公播音乐是为这些场所提供有版权的背景音乐,同时提供一套集中的管控平台,成为一个独特的声音媒介,实现统一的监管、政策的发布、文化传播、广告宣传等。
智思云核心人力云 核心人力云 提供完整的核心人力资源管理,以员工为中心,管理员工全生命周期。组织人事、时间管理和薪酬管理模块相互关联,数据深度集成,减少HR事务性操作,提升管理效率。以数据为基础,实现数据驱动的科学人才决策,以战略为导向,构建企业未来敏捷组织。
泛微电子合同管理平台 泛微的合同管理平台会根据不同的角色,提供了个性化的工作门户,将合同管理的处理信息从各个应用中抽取出来,分类组合之后,集中的展现。真正实现了一站式的合同处理,打破传统需要依靠人去主动找事情的方式,提升合同处理效率。
百炼智能知了标讯招投标信息智能推荐平台 知了标讯,招投标信息智能推荐平台。基于人工智能技术,构建清晰有效的全网招投标信息库,提供精准的招标搜索、实时的标讯订阅、超前的招标预测,帮企业高效获取准确的标讯,预测未来商机。
腾讯WePack制品库管理平台 腾讯WePack制品库管理平台,支持丰富的制品类型,协助开发团队快速开发、构建、发布和部署,通过统一的平台管理所有制品,持续扫描,分析制品,确保制品的安全可靠合规,并可追溯。

甄选10000+数字化产品 为您免费使用

申请试用