Log4j “核弹级”漏洞攻击预警方案

背景

相信大家已经知道了Log4J的核弹级漏洞,影响了非常多的Java 类产品:Apache Log4j 2.x < 2.15.0-rc2;可能的受影响应用及组件(包括但不限于)如下:

  • Apache Solr
  • Apache Flink
  • Apache Druid
  • Apache Struts2
  • srping-boot-strater-log4j2
  • Elasticsearch
  • flume
  • dubbo
  • Redis
  • logstash
  • kafka


更多组件可参考:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1


该漏洞利用Log4j提供的lookup功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。简单来说,就是在使用Log4j打印日志时,如果发现日志内容中包含关键词 ${,那么这个里面包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。详细漏洞披露可查看: https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201

攻击检测

通过使用阿里云SLS服务,只需两步即可完成攻击检测:


1. 将Java程序日志接入SLS

首先需要将业务日志接入SLS,如果已经接入了的可跳过。

SLS支持非常便捷的接入方式,这里推荐使用文件采集Java程序的日志,具体接入方法可以参考:

在日志接入后,我们就可以在SLS控制台配置关键词告警。


2. 配置关键字监控

该漏洞被利用时会产生相应的日志,通过检测以下关键字,即可识别:

"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"

然后点击查询/分析,(如果有攻击发生,会如下图):

Log4j “核弹级”漏洞攻击预警方案

再点击右上角的“另存为告警 -> 新版告警”:配置告警规则如下:

Log4j “核弹级”漏洞攻击预警方案

通知里可以配置语音、钉钉等渠道,如下图所示:

Log4j “核弹级”漏洞攻击预警方案

如果日志中有关键字出现,则会在发送语音和钉钉通知。

Log4j “核弹级”漏洞攻击预警方案

修复建议

目前漏洞 POC 已被公开,官方已发布安全版本(RC2),建议使用 Java 开发语言的系统尽快确认是否使用 Apache Log4j 2 插件。禁止使用 log4j 服务器外连,尽快升级 Apache Log4j2 到最新的 log4j-2.15.0-rc2 版本,地址: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

总结

该漏洞影响极大,修复本身也比较花费过程,许多服务都发布公告需要一段时间,在这之前,强烈推荐使用阿里云SLS对该漏洞进行预警。

Log4j “核弹级”漏洞攻击预警方案

进一步参考

Log4j “核弹级”漏洞攻击预警方案

上一篇:Tomcat6 配置多虚拟主机,多域名绑定一IP


下一篇:Sigar java 服务器信息探针、监控