立即咨询

电话咨询

微信咨询

立即试用
商务合作

如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

2021-12-14

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)。当前几乎所有技术巨头都在使用该开源组件,其危害将带来一连串连锁反应。据行业机构不完全统计,该漏洞影响 6w+ 流行开源软件,影响 70% 以上的企业线上业务系统!漏洞波及面、危害程度均堪比 2017 年的让数百万台主机面临被勒索病毒攻击的风险的“永恒之蓝”漏洞。

图片

漏洞解析

Apache Log4j RCE 漏洞造成如此大影响的原因,不仅在于其易于利用,更在于其巨大的潜在危害性。此次危机由 Lookup 功能引发,Log4j2 在默认情况下会开启 Lookup 功能,提供给客户另一种添加特殊值到日志中的方式。此功能中也包含了对于 JNDI 的 Lookup,但由于 Lookup 对于加载的 JNDI 内容未做任何限制,使得攻击者可以通过 JNDI 注入实现远程加载恶意类到应用中,从而造成 RCE。

据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接应用了 Log4j-core 的依赖中,就包含了 SpringBoot、JBoss、Solr 等流行框架。漏洞几乎影响所有使用 Log4j2 2.15.0 的用户,包含 2.15.0-rc1 也已经有绕过手法流出。

仅需四步,借助阿里云 ARMS 应用安全,全面拦截 Log4j2 漏洞攻击

此次 Log4j2 漏洞,作为一款日志框架,相比起记录日志等类型的正常行为,进行命令注入、执行,本身就是明显异常行为。

RASP 在默认规则下,会拦截掉所有因反序列、JNDI 注入导致的命令执行、任意文件读取、恶意文件上传等危险行为。不同于传统基于流量特征的防御方式,RASP(Runtime Application Self-Protection)基于行为和应用运行时上下文,不会陷入特征穷举并更加关注「正常基线」。即应用的正常使用行为有哪些,如果这个行为(如命令执行)不属于该功能的正常操作,则会进行拦截。

此次漏洞,系 Log4j2 的 JNDI 功能造成的命令执行漏洞,处在 RASP 覆盖场景之中,无需新增规则也能默认防御。因此,ARMS 应用安全基于阿里云 RASP 技术针对上述漏洞进行攻击防护。

1、登录阿里云 ARMS 控制台

图片

说明:阿里云 ARMS 探针版本容器服务应用 / EDAS 应用等自动升级场景 >=2.7.1.2,其他场景(手动升级)>=2.7.1.3。应用首次开启接入ARMS应用安全,需要重启应用实例。

2、在左侧导航栏,选择应用 > 攻击统计页面

图片

当受到 Log4j2 远程代码执行漏洞攻击时,ARMS 应用安全会识别上报攻击行为事件。还可通过配置告警规则,通过短信、钉钉、邮件等渠道接收攻击告警通知。默认防护模式为监控模式,建议观察一段时间后调整防护设置为监控并阻断,一旦发生攻击行为可以直接阻断,保障应用安全运行。

3、在左侧导航栏,选择应用安全 > 危险组件检测,针对三方组件以来自动分析关联 CVE 漏洞库并提供修复建议

图片

4、危险组件全量自查,通过搜索查看所有接入应用是否包含 Log4j 组件,并确定组件版本

图片

修复升级与建议

(1)排查应用是否引入了 Apache Log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

地址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2

(2)升级已知受影响的应用及组件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

(3)可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。

(4)尽可能杜绝对外开放端口,加强应用的证书验证管控,最大可能减少外网攻击面。

(5)在外网开启 Web 应用防火墙 +RASP 组合,采取行为和应用运行时上下文防御策略。

(6)安全配置评估中,严格控制开源软件安全,并自建内部安全版本库,及时更新。

(7)建立多层检测防御体系,采用内网多层隔离,并全面提升威胁检测能力。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

热门数字化产品

北森盘点与发展系统北森盘点与发展系统,基于人才九宫格、人才名单结果,选拔高潜后备人才进入人才库,给予锻炼机会,加速成才。根据能力模型制定关键人才培养框架,根据盘点结果制定针对性的发展计划。评估角度多维度立体,适应企业现状,契合业务需要。
绿云软件酒店管理系统绿云软件酒店管理系统,符合大住宿业数字化建设集中化、一体化、平台化、大数据发展趋势,稳定、经济、开放,支持集中+分布式混合部署。基于绿云开放平台,行业上下游合作伙伴均可接口对接,形成智慧互联 。无须担心“数字孤岛”,各系统和场景的数据在保证安全的前提下互联互通 。
小望电商通小望电商通,全面数字化的电子发票(简称全电发票),是以可信身份认证体系和新型电子发票服务平台为依托,以标签化、要素化、去版式、授信制、赋码制为特征,以全领域、全环节、全要素电子化为运行模式的新型电子发票。
华云天下云呼叫中心系统HCC华云天下云呼叫中心系统采用HCCASR/TTS集成,客户可自定义VIP客户转接流程。拥有预测式外呼和预览式外呼两种,提供单声道、双声道、主被叫分离等多种录音方式以及不安装任何插件的情况下, 坐席录音可在线收听和下载 支持MP3,WAV格式等,使企业实现人工智能快速规模化落地。
吉客云吉链分销平台吉客云吉链分销平台为吉客云的业务链接子系统,连接吉客云企业与企业之间的业务关系。多种关系(货主委外发货、生产委外加工、代理销售、物流代发)的业务往来和协同,以及业务伙伴的发现。
为你推荐
2025腾讯产业合作伙伴大会|云巴巴荣获双项大奖,载誉而归

1月16日,2025腾讯产业合作伙伴大会在三亚召开。云巴巴,荣膺“2024腾讯云卓越合作伙伴奖—星云奖”和“2024腾讯云AI产品突出贡献奖”双项大奖

2025-01-17
信创适配难×多端效率低?Testin云测AI自动化测试重塑企业测试效能边界

Testin云测自动化测试解决方案,以零代码降低门槛、全栈兼容打破生态壁垒、云端集约提升资源效能,助力企业跨越测试鸿沟,赢在数智化时代。

2025-04-30
如何破局金融合规与敏捷难题?TAPD双引擎方案实测揭秘!

如何构建安全合规、敏捷高效的研发管理体系,已成为金融业高质量发展的关键命题。

2025-04-30
跨部门协作总卡壳?TAPD让互联网企业需求交付周期缩短80%

腾讯TAPD正在凭借着三大亮点帮助众多互联网企业打破传统管理模式的束缚,实现更加透明、高效的协作。

2025-04-30
智能航运管理平台如何选型?揭秘洞隐智能航运助力企业数字化转型的“航海秘籍”

云巴巴基于多年行业深耕,为大家推荐洞隐科技的智能航运管理平台,为企业开启“智慧航海”新篇章——这不仅是技术的升级,更是一场管理模式的革新。

2025-04-30
查看更多