如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

来源: 云巴巴 2021-12-14 17:22:18

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)。当前几乎所有技术巨头都在使用该开源组件,其危害将带来一连串连锁反应。据行业机构不完全统计,该漏洞影响 6w+ 流行开源软件,影响 70% 以上的企业线上业务系统!漏洞波及面、危害程度均堪比 2017 年的让数百万台主机面临被勒索病毒攻击的风险的“永恒之蓝”漏洞。

图片

漏洞解析

Apache Log4j RCE 漏洞造成如此大影响的原因,不仅在于其易于利用,更在于其巨大的潜在危害性。此次危机由 Lookup 功能引发,Log4j2 在默认情况下会开启 Lookup 功能,提供给客户另一种添加特殊值到日志中的方式。此功能中也包含了对于 JNDI 的 Lookup,但由于 Lookup 对于加载的 JNDI 内容未做任何限制,使得攻击者可以通过 JNDI 注入实现远程加载恶意类到应用中,从而造成 RCE。

据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接应用了 Log4j-core 的依赖中,就包含了 SpringBoot、JBoss、Solr 等流行框架。漏洞几乎影响所有使用 Log4j2 2.15.0 的用户,包含 2.15.0-rc1 也已经有绕过手法流出。

仅需四步,借助阿里云 ARMS 应用安全,全面拦截 Log4j2 漏洞攻击

此次 Log4j2 漏洞,作为一款日志框架,相比起记录日志等类型的正常行为,进行命令注入、执行,本身就是明显异常行为。

RASP 在默认规则下,会拦截掉所有因反序列、JNDI 注入导致的命令执行、任意文件读取、恶意文件上传等危险行为。不同于传统基于流量特征的防御方式,RASP(Runtime Application Self-Protection)基于行为和应用运行时上下文,不会陷入特征穷举并更加关注「正常基线」。即应用的正常使用行为有哪些,如果这个行为(如命令执行)不属于该功能的正常操作,则会进行拦截。

此次漏洞,系 Log4j2 的 JNDI 功能造成的命令执行漏洞,处在 RASP 覆盖场景之中,无需新增规则也能默认防御。因此,ARMS 应用安全基于阿里云 RASP 技术针对上述漏洞进行攻击防护。

1、登录阿里云 ARMS 控制台

图片

说明:阿里云 ARMS 探针版本容器服务应用 / EDAS 应用等自动升级场景 >=2.7.1.2,其他场景(手动升级)>=2.7.1.3。应用首次开启接入ARMS应用安全,需要重启应用实例。

2、在左侧导航栏,选择应用 > 攻击统计页面

图片

当受到 Log4j2 远程代码执行漏洞攻击时,ARMS 应用安全会识别上报攻击行为事件。还可通过配置告警规则,通过短信、钉钉、邮件等渠道接收攻击告警通知。默认防护模式为监控模式,建议观察一段时间后调整防护设置为监控并阻断,一旦发生攻击行为可以直接阻断,保障应用安全运行。

3、在左侧导航栏,选择应用安全 > 危险组件检测,针对三方组件以来自动分析关联 CVE 漏洞库并提供修复建议

图片

4、危险组件全量自查,通过搜索查看所有接入应用是否包含 Log4j 组件,并确定组件版本

图片

修复升级与建议

(1)排查应用是否引入了 Apache Log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

地址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2

(2)升级已知受影响的应用及组件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

(3)可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。

(4)尽可能杜绝对外开放端口,加强应用的证书验证管控,最大可能减少外网攻击面。

(5)在外网开启 Web 应用防火墙 +RASP 组合,采取行为和应用运行时上下文防御策略。

(6)安全配置评估中,严格控制开源软件安全,并自建内部安全版本库,及时更新。

(7)建立多层检测防御体系,采用内网多层隔离,并全面提升威胁检测能力。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

网络安全攻击四起,制造业成为重点关注对象

网络安全攻击四起,制造业成为重点关注对象

墨西哥的富士康工厂发生了一起网络安全攻击事件,遭遇了“DoppelPaymer”勒索软件的攻击,约有1200台服务器遭到网络攻击,被黑客入侵,被窃取了100GB的未加密文件,黑客在窃取了文件后删除了服务器上备份的20TB-30TB的资料,并把一些跟运营相关

2022-11-23 11:17:58

二十年网络安全关键词统计,CISO的角色再一次转变

二十年网络安全关键词统计,CISO的角色再一次转变

安全转型研究基金会(Security Transformation Research Foundation)近日发布的网络安全内容关键词分析突显了网络安全语境在过去20年中的发展轨迹和重大趋势。

2020-03-13 16:31:28

WannaCry勒索病毒不相信眼泪,破局有四招!

WannaCry勒索病毒不相信眼泪,破局有四招!

大多数IT安全人员因为这次席卷全球的勒索攻击事件而在周末忙得不可开交,有的忙着打补丁,有的犹豫交赎金。而IBM内部尚未接到受感染的案例报告,因为IBM在4月份已通过BigFix向所管理的终端自动推送了此补丁。

2020-03-24 16:38:20

网络安全拐点:无恶意软件攻击主流化

网络安全拐点:无恶意软件攻击主流化

过去几年,安全人员关注的焦点是网络犯罪的组织化和市场化趋势,包括各种攻击即服务(例如DDoS as a Service、RaaS勒索软件即服务等)、恶意软件产业化发展等。但是2019-2020年,老式黑客电影中常出现的场景

2020-03-10 14:12:25

安全基线管理系统,新型网络安全技术产品之一

安全基线管理系统,新型网络安全技术产品之一

在当代社会,到处充满着机会,每个人都有自己的梦想,大多数人愿意朝着实现目标而奋斗。学习有关科技和互联网的知识的必要性不容分说。而这篇文章,就主谈一下有关安全基线管理系统的相关知识。 安全基线管理系统产品特点 安全基线管理系统多种采集手段互补,系统提供T

2020-05-22 16:06:55

为什么勒索软件会攻击成功?

为什么勒索软件会攻击成功?

这就是勒索病毒,其核心就是以勒索为目的恶意软件。英文全称Ransomware,目前勒索软件是黑客用来劫持用户信息资产或其他有价资源,并以此为条件向用户勒索钱财的最流行的工具。它是互联网用户面临的最广泛和最具破坏性的威胁之一。

2021-12-03 11:50:43

严选云产品

腾讯健康新零售药店SaaS 基于微信生态、腾讯云云资源的SaaS化部署,帮助连锁药店快速搭建独立主体的线上线下一体化商城,实现数字化转型;帮助连锁药店用户线上化,提供药事服务,丰富的营销方式,以数据驱动销售,精准营销,提升药店人效坪效,打造增长新曲线。
指数动力商瞳市场竞争情报平台 指数动力商瞳市场竞争情报平台,基于大数据和AI技术,为客户提供实时智能的竞对和竞争环境情报,帮助客户提升竞争力。
达观数据文字识别(OCR) 达观OCR综合使用图像处理、计算机视觉、自然语言处理和深度学习等技术,准确全面的识别扫描件和图片中的文字,并通过语义分析理解抽取出业务所需关键要素,在识别的同时实现文档的结构化处理
普元信创应用服务器中间件 普元公司提供生态完备的中间件产品,均与国内主流信创生态完成了兼容适配以及深度优化,可以实现针对国外商用IBM、Oracle以及开源产品的无缝替换。实现完全的国产化自主可控。
店匠Shoplazza跨境电商店铺管理系统 店匠Shoplazza跨境电商店铺管理系统,覆盖跨境电商全业务链条,助力商家快速搭建出海阵地。专业投放工具,帮助商家低成本获取公域流量,精准获客。智化营销工具与数据管理平台搭配,赋能商家提升客户购买率。全链路跨境生态体系,高效满足各行业商家的全模块需求。
分贝通 商旅用餐解决方案 分贝通商旅用餐解决方案,领先的企业钱包,创新的企业支出管理流程,企业差旅、采购、员工福利等常见支出的差旅成本管控软件,财务管理系统,差旅费报销方案,管理软件系统,让企业财务管理更高效。

甄选10000+数字化产品 为您免费使用

申请试用