背景
相信大家已经知道了Log4J的核弹级漏洞,影响了非常多的Java 类产品:Apache Log4j 2.x < 2.15.0-rc2;可能的受影响应用及组件(包括但不限于)如下:
- Apache Solr
- Apache Flink
- Apache Druid
- Apache Struts2
- srping-boot-strater-log4j2
- Elasticsearch
- flume
- dubbo
- Redis
- logstash
- kafka
更多组件可参考:https://mvnrepository.com/artifact/org.apache.logging.log4j/log4j-core/usages?p=1
该漏洞利用Log4j提供的lookup功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。简单来说,就是在使用Log4j打印日志时,如果发现日志内容中包含关键词 ${
,那么这个里面包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。详细漏洞披露可查看: https://issues.apache.org/jira/projects/LOG4J2/issues/LOG4J2-3201
攻击检测
通过使用阿里云SLS服务,只需两步即可完成攻击检测:
1. 将Java程序日志接入SLS
首先需要将业务日志接入SLS,如果已经接入了的可跳过。
SLS支持非常便捷的接入方式,这里推荐使用文件采集Java程序的日志,具体接入方法可以参考:
- 数据采集概述:https://help.aliyun.com/document_detail/28981.html
- 使用极简模式采集日志:https://help.aliyun.com/document_detail/137903.html
在日志接入后,我们就可以在SLS控制台配置关键词告警。
2. 配置关键字监控
该漏洞被利用时会产生相应的日志,通过检测以下关键字,即可识别:
"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"
然后点击查询/分析,(如果有攻击发生,会如下图):
再点击右上角的“另存为告警 -> 新版告警”:配置告警规则如下:
通知里可以配置语音、钉钉等渠道,如下图所示:
如果日志中有关键字出现,则会在发送语音和钉钉通知。
修复建议
目前漏洞 POC 已被公开,官方已发布安全版本(RC2),建议使用 Java 开发语言的系统尽快确认是否使用 Apache Log4j 2 插件。禁止使用 log4j 服务器外连,尽快升级 Apache Log4j2 到最新的 log4j-2.15.0-rc2 版本,地址: https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
总结
该漏洞影响极大,修复本身也比较花费过程,许多服务都发布公告需要一段时间,在这之前,强烈推荐使用阿里云SLS对该漏洞进行预警。
进一步参考
- 阿里云SLS(日志服务):https://www.aliyun.com/product/sls
- SLS日志采集文档:https://help.aliyun.com/document_detail/28981.html
- SLS告警文档:https://help.aliyun.com/document_detail/209951.html
- 欢迎扫群加入阿里云-日志服务(SLS)技术交流,获得第一手资料与支持