【资讯处-转知】(ANA事件单通知:TACERT-ANA-2021122009121010)(【漏洞预警】Apache Log4j 2出现重大远程代码执行漏洞)

发布编号:TACERT-ANA-2021122009121010

发布时间:2021-12-20 09:25:10

事故类型:ANA-漏洞预警

发现时间:2021-12-18 12:37:10

影响等级:低

 

[主旨说明:]

【漏洞预警】Apache Log4j 2出现重大远程代码执行漏洞

 

[内容说明:]

转发 数联资安(ISSDU)情资编号:ISSDU-ANA-202112-0002

由于许多知名的大型应用系统如推特、iCloud、Minecraft等都使用了Log4j,且这项漏洞极为容易被利用,已经出现攻击行动的情况,被资安专家称为近10年来最严重的漏洞。

Apache Log4j 2是基于Java的日志框架,近日他们发布了新版本2.15.0,当中修补了一项远端程式码执行漏洞,用户尽速升级最新版本。根据阿里云安全团队的说明,Apache Log4j2的某些功能存在递回解析功能,而攻击者可直接构造恶意请求,触发远端程式码执行漏洞,并指出Apache Struts2、Apache Solr、Apache Druid、Apache Flink都受影响。目前CVE漏洞编号CVE-2021-44228

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

Apache Log4j 2.15.0 版本之前的任何版本

 

[建议措施:]

此问题已在 Log4J v2.15.0 中修复。Apache 日志服务团队提供以下缓解建议:

在以前的版本中,可以通过将系统属性log4j2.formatMsgNoLookups设置为TRUE或从类路径中删除 JndiLookup 类来缓解这种行为

如果无法升级,请确保在客户端和服务器端组件上都将参数Dlog4j2.formatMsgNoLookups设置为TRUE。

目前已有资安设备厂商已释出相关攻击特征,分别有以下列表,建议拥有这些资安设备,将该特征设定为阻挡,以避免遭外部攻击者成功入侵

Checkpoint:

Apache Log4j Remote Code Execution (CVE-2021-44228)

Deep Security:

Apache Log4j Remote Code Execution Vulnerability (CVE-2021-44228)

Fidelis:

FSS_CVE-2021-44228 - Apache Log4j Inject Request

Firepower:

SERVER-OTHER Apache Log4j logging remote code execution attempt

SERVER-APACHE Apache Log4j2 CVE- 2021-44228 Remote Code Execution Vulnerability

Fortigate:

Apache.Log4j.Error.Log.Remote.Code.Execution

Palo Alto:

Apache Log4j Remote Code Execution Vulnerability

Mcafee:

UDS-HTTP: Apache Log4j2 Remote Code Execution Vulnerability

HTTP: Apache Log4j2 Remote Code Execution Vulnerability (CVE-2021-44228)

TippingPoint:

HTTP: JNDI Injection in HTTP Request

IBM:

HTTP_Log4J_JndiLdap_Exec

DDI:

HTTP_POSSIBLE_USERAGENT_RCE_EXPLOIT_REQUEST

CVE-2021-44228 - OGNL EXPLOIT - HTTP(REQUEST)

POSSIBLE HTTP HEADER OGNL EXPRESSION EXPLOIT - HTTP(REQUEST)

POSSIBLE HTTP BODY OGNL EXPRESSION EXPLOIT - HTTP (REQUEST) - Variant 2

Sophos:

SERVER-OTHER Apache Log4j logging remote code execution attempt

SERVER-APACHE Apache Log4j2 CVE- 2021-44228 Remote Code Execution Vulnerability

 

[参考资料:]

1、 https://hominido.medium.com/iocs-para-log4shell-rce-0-day-cve-2021-44228-98019dd06f35

2、 https://nvd.nist.gov/vuln/detail/CVE-2021-44228

3、 https://www.ithome.com.tw/news/148307

4、 https://community.riskiq.com/article/505098fc/indicators

5、 https://github.com/advisories/GHSA-jfh8-c2jp-5v3q

(此通报仅在于告知相关资讯,并非为资安事件),如果您对此通报的内容有疑问或有关于此事件的建议,欢迎与我们连络。

教育机构资安通报应变小组

网址:https://info.cert.tanet.edu.tw/

专线电话:07-5250211

网络电话:98400000

E-Mail:service@cert.tanet.edu.tw

编辑