Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。

漏洞情况

此次危机由Lookup功能引发,Log4j2在默认情况下会开启Lookup功能,提供给客户另一种添加特殊值到日志中的方式。此功能中也包含了对于JNDI的Lookup,但由于Lookup对于加载的JNDI内容未做任何限制,使得攻击者可以通过JNDI注入实现远程加载恶意类到应用中,从而造成RCE。

影响范围

Log4j2做为apache推出的一款主流日志框架,使用范围广大,经阿里云安全团队验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

单从Maven仓库中看,存在漏洞的Log4j-core的直接应用就高达将近七千:

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

而在直接应用了Log4j-core的依赖中,就包含了SpringBoot、JBoss、Solr等十分流行的框架,

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

漏洞几乎影响所有使用Log4j2 2.15.0的用户,包含2.15.0-rc1也已经有绕过手法流出。

针对此漏洞,阿里云快速响应,已更新各安全产品规格实现流量+应用+主机侧的全面防御,阿里云安全也建议Apache Log4j2用户尽快采取安全措施阻止漏洞攻击

云上流量检测双重防护:

第一重:Web应用防火墙规则更新

面对漏洞的来势汹汹,Web应用防火墙作为流量防控先锋军,在原有规则上已具备JNDI注入防护能力,目前已更新对Apache Log4j 2.x的JNDI注入利用的增强防护规则

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南
(图:阿里云Web应用防火墙规则更新情况)

第二重:云防火墙双向拦截

阿里云云防火墙也已完成规则更新,可对利用Apache Log4j2 远程代码执行漏洞发起的dnslog访问、反弹shell、jndi注入等攻击,以及此漏洞的探测结果外联行为等实时检测,并及时进行拦截。

用户可按如下步骤进行检测防御:

1.云上客户可以通过【云防火墙->攻击防护->防护配置->威胁引擎运行模式】一键开启拦截模式,开启后云防火墙将自动拦截攻击行为。

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

2.虚拟补丁能有效的帮助企业用户争取漏洞修复时间,避免应用程序的修复重启给业务带来不必要的风险与中断,通过【虚拟补丁->自定义选择】可以查看当前虚拟补丁类型、明细和当前动作。

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

3.入侵防御界面通过对攻击聚类,实时显示攻击来源、攻击分布、阻断目的/来源TOP信息,方便进行溯源分析、事件排查和应急防御。

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

阿里云云上RASP天然防护

不同于传统基于流量特征的防御方式,RASP(Runtime Application Self-Protection)作为一款基于行为和应用运行时上下文的防御产品,不会陷入特征穷举,而更加关注「正常基线」,即一个应用的正常使用行为有哪些,如果这个行为(如命令执行)不属于该功能的正常操作,则会进行拦截。

而此次的Log4j2漏洞,作为一款日志框架,相比起记录日志等类型的正常行为,进行命令注入、执行,本身就是一个明显的异常行为。RASP在默认规则下,会拦截掉所有因反序列、JNDI注入导致的命令执行、任意文件读取、恶意文件上传等危险行为。此次漏洞,系Log4j2的JNDI功能造成的命令执行漏洞,完全处在RASP覆盖场景之中,无需新增规则也能默认防御

用户可按如下步骤完成检测防御:

1、登录ARMS控制台;

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

说明:探针版本要求>=2.7.1.3,应用首次开启接入ARMS应用安全,需要重启应用实例才会生效

2、在左侧导航栏,选择应用安全 > 攻击统计页面:

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南
(图:阿里云RASP成功捕获到Log4j2漏洞利用与探测行为)

当受到Log4j2远程代码执行漏洞攻击时,ARMS应用安全会识别上报攻击行为事件,客户还可以通过配置告警规则,通过短信、钉钉、邮件等渠道接收攻击告警通知。

3、危险组件自动检测:在左侧导航栏,选择应用安全 > 危险组件检测,针对三方组件依赖自动分析关联CVE漏洞库并提供修复建议。

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

4、危险组件全量自查,用户可通过搜索查看所有接入应用是否包含Log4j组件,并确定Log4j组件的版本

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南
(图:阿里云RASP在组件中发现Log4j组件)

如需更多信息,可查看:ARMS应用安全接入帮助(https://help.aliyun.com/document_detail/315397.html

此外,阿里云云盾WAF提供7天免费漏洞应急服务,为用户争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR

云安全中心一键漏洞检测

在流量侧进行的漏洞发现与阻断防御,都是为最终修复漏洞争取宝贵的时间。阿里云云安全中心应用漏洞模块已支持一键检测:

Apache Log4j2 丨阿里云「流量+应用+主机」三重检测防护指南

阿里云安全建议

修复升级

  1. 排查应用是否引入了Apache Log4j-core Jar包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级Apache Log4j2所有相关应用到最新的 Log4j-2.15.0-rc2 版本,地址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2
  2. 升级已知受影响的应用及组件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
  3. 可升级jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上,可以在一定程度上限制JNDI等漏洞利用方式。

安全建设

  1. 尽可能杜绝对外开放端口,加强对企业内部应用的证书验证管控,最大可能减少外网攻击面;
  2. 在外网开启Web应用防火墙+RASP组合,采取基于行为和应用运行时上下文的防御产品;
  3. 在安全配置评估中,严格控制开源软件安全,并自建内部安全版本库,及时更新;
  4. 建立多层检测防御体系,采用内网多层隔离,并全面提升威胁检测能力。
上一篇:双11实战 | 高并发场景下的流量安全


下一篇:“您的外卖订单正在由机器人配送中”:探访送货机器人进楼宇