Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

CVE-2021-44228: Apache Log4j 严重远程代码执行漏洞概念验证现已可用 (Log4Shell)

常用日志记录库 Log4j 2 中的严重漏洞影响了许多服务和应用程序,包括 Minecraft、Steam 和 Apple iCloud。攻击者已经开始主动扫描并试图利用该缺陷。

12 月 21 日更新: 12 月 17 日发布了一篇常见问题 (FAQ) 博客文章,其中包含有关 Log4Shell 和其他相关漏洞的信息。有关最新信息,请参考我们的博客文章:CVE-2021-44228,CVE-2021-45046,CVE-2021-4104: 有关 Log4Shell 和关联漏洞的常见问题

背景

12 月 9 日,研究人员发布了 Apache Log4j 2 中一个严重漏洞的概念验证 (PoC) 漏洞利用代码,Apache Log4j 2 是一个许多应用程序和服务都在使用的 Java 日志记录库,包括但不限于:

研究人员将其称为 Log4Shell,该漏洞最初引发关注是因有几篇报道称该漏洞影响了流行沙盒视频游戏 Minecraft 的几个版本。

此外,诸如 Steam 和 Apple iCloud 等云服务也受到影响。

该漏洞影响非常恶劣,Cloudflare CEO 计划为所有客户提供保护。

分析

CVE-2021-44228 是 Apache Log4j 2 中的一个远程代码执行漏洞 (RCE)。未经身份验证的远程攻击者可以通过向运行有漏洞的 log4j 版本的服务器发送精心编制的请求来利用此漏洞。精心编制的请求通过各种服务使用 Java 命名和目录接口 (JNDI) 注入,这些服务包括:

  • 轻型目录访问协议 (LDAP)
  • 安全的 LDAP (LDAPS)
  • 远程访问调用 (RMI)
  • 域名服务 (DNS)

如果有漏洞的服务器使用 log4j 来记录请求,则该漏洞利用将通过上述服务之一从攻击者控制的服务器请求针对 JNDI 的恶意有效负载。漏洞利用得手可能会造成 RCE。

对于 Minecraft,用户能够利用此漏洞,方法是通过 Minecraft 聊天发送精心编制的消息。

GreyNoiseBad Packets 均已检测到搜索使用 Log4j 服务器的大规模扫描活动。

现在有报道称,该漏洞正被用来植入加密货币挖矿程序。

概念验证

CVE-2021-44228 的第一个 PoC 于 12 月 9 日发布,随后分配了其 CVE 标识符。 在发表这篇博文时,GitHub 上还提供了另外几个 PoC

解决方案

尽管 Apache 于 12 月 6 日发布了一个候选解决方案来解决此漏洞,但该解决方案并不完整。Apache 于 12 月 10 日发布了2.15.0

Log4j 2.15.0 需要 Java 8。 因此,使用 Java 7 的企业需要升级才能更新到 Log4j 的补丁版本。

Apache 建议,如果无法立即修补,可以采取缓解方法来挫败利用此漏洞的企图:因为 Apache 提供的信息会持续更新,所以请在此处参考其指导。

因为 Log4j 包含在许多 Web 应用程序中,并被各种云服务使用,所以这个漏洞的影响深度在一段时间内不为人知。不过,在这篇博文发布时,有些产品和服务已确认易遭此漏洞攻击,其中包括:

产品/服务 确认受到影响
Minecraft
Steam
Apple iCloud
Tencent
Twitter
百度
Didi
Cloudflare
Amazon
Tesla
ElasticSearch
Ghidra

有一个 GitHub 存储库正在跟踪此漏洞的攻击面。

识别受影响的系统

用于识别此漏洞的插件列表在发布后显示在这里。此外,我们想重点关注以下插件(在插件集 202112112213 和更高版本中提供) :

远程检查

  • 插件 ID 156014 - 通过回调关联的 Apache Log4Shell RCE 检测 (Direct Check HTTP) - 该远程检查可用于识别漏洞,而无需身份验证。该插件与 Tenable 云扫描程序兼容
  • 插件 ID 155998 - Apache Log4j 消息查找替换 RCE (Log4Shell)(Direct Check) - 该插件监听来自目标主机的 LDAP 绑定连接。它与 Tenable.io 云扫描程序不兼容,并且会因其他安全设备的防火墙规则或干扰,可能无法在某些网络中返回结果。我们继续研究其他检测选项,并推荐 Tenable.io 云扫描程序客户使用以下四个插件。

有关插件 ID 156014 和 155998 的概要说明,请访问 Tenable Community 上的这篇贴文

版本检查和本地检测(需要身份验证)

  • 插件 ID 155999 - Apache Log4j < 2.15.0 远程代码执行
  • 插件 ID 156000 - Apache Log4j 已安装(Unix)
  • 插件 ID 156001 - Apache Log4j JAR 检测 (Windows)
  • 插件 ID 156002 - Apache Log4j < 2.15.0 远程代码执行

此外,一款全面的 Tenable.io Web App Scanning (WAS) 插件已经发布,该插件可用于测试用来利用 Log4Shell 漏洞的输入字段。

  • 插件 ID 113075 - Apache Log4j 远程代码执行 (Log4Shell)

有关上述每个插件的支持信息,请在 Tenable Community 上访问访问此贴文

Tenable 已经发布了 Tenable.io、Tenable.sc 和 Nessus Professional 的扫描模板,这些模板已预先配置好,可以快速扫描此漏洞。此外,Tenable.io 客户可以在插件库中使用新的仪表盘和插件。Tenable.sc 用户还可使用新的 Log4Shell 仪表盘。 要确保您的扫描程序可以使用最新插件,Tenable 建议手动更新您的插件集。包括 Tenable.io Nessus 扫描程序在内的 Nessus 用户可以使用以下 Nessus CLI 命令:

nessuscli fix --secure --delete feed_auto_last

有关使用 nessuscli 的更多信息,请参考这篇文章

Tenable.sc 用户可以使用插件/源配置用户界面中的 [更新] 链接手动更新插件,如下图所示

目前未使用 Tenable 产品的企业可以注册 Nessus Professional 的免费试用版来扫描此漏洞。

获取更多信息

加入 Tenable Community 中的 Tenable 安全响应团队

了解有关 Tenable 这款首创 Cyber Exposure 平台的更多信息,全面管理现代攻击面。

获取 30 天免费试用版 Tenable.io Vulnerability Management

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

免费试用 30 天


可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

免费试用 30 天 在软件开发生命周期的设计、构建和运行时阶段,享有检测和修复云基础架构错误配置的完全访问权限。

购买 Tenable.cs

联系销售代表,了解有关云安全的更多信息,以及如何从代码到云,全程护航。