如何强化应用安全能力,全面拦截 Log4j 漏洞攻击

来源: 云巴巴 2021-12-14 17:22:18

最近几天对于很多开发者而言,只能用争分夺秒与胆战心惊来形容。而造成这一切的源头,来自于被公布的 Apache Log4j2 远程代码执行漏洞(CNVD-2021-95914)。当前几乎所有技术巨头都在使用该开源组件,其危害将带来一连串连锁反应。据行业机构不完全统计,该漏洞影响 6w+ 流行开源软件,影响 70% 以上的企业线上业务系统!漏洞波及面、危害程度均堪比 2017 年的让数百万台主机面临被勒索病毒攻击的风险的“永恒之蓝”漏洞。

图片

漏洞解析

Apache Log4j RCE 漏洞造成如此大影响的原因,不仅在于其易于利用,更在于其巨大的潜在危害性。此次危机由 Lookup 功能引发,Log4j2 在默认情况下会开启 Lookup 功能,提供给客户另一种添加特殊值到日志中的方式。此功能中也包含了对于 JNDI 的 Lookup,但由于 Lookup 对于加载的 JNDI 内容未做任何限制,使得攻击者可以通过 JNDI 注入实现远程加载恶意类到应用中,从而造成 RCE。

据悉,Apache Log4j 2.x <= 2.14.1 版本均回会受到影响。可能的受影响应用包括但不限于:Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接应用了 Log4j-core 的依赖中,就包含了 SpringBoot、JBoss、Solr 等流行框架。漏洞几乎影响所有使用 Log4j2 2.15.0 的用户,包含 2.15.0-rc1 也已经有绕过手法流出。

仅需四步,借助阿里云 ARMS 应用安全,全面拦截 Log4j2 漏洞攻击

此次 Log4j2 漏洞,作为一款日志框架,相比起记录日志等类型的正常行为,进行命令注入、执行,本身就是明显异常行为。

RASP 在默认规则下,会拦截掉所有因反序列、JNDI 注入导致的命令执行、任意文件读取、恶意文件上传等危险行为。不同于传统基于流量特征的防御方式,RASP(Runtime Application Self-Protection)基于行为和应用运行时上下文,不会陷入特征穷举并更加关注「正常基线」。即应用的正常使用行为有哪些,如果这个行为(如命令执行)不属于该功能的正常操作,则会进行拦截。

此次漏洞,系 Log4j2 的 JNDI 功能造成的命令执行漏洞,处在 RASP 覆盖场景之中,无需新增规则也能默认防御。因此,ARMS 应用安全基于阿里云 RASP 技术针对上述漏洞进行攻击防护。

1、登录阿里云 ARMS 控制台

图片

说明:阿里云 ARMS 探针版本容器服务应用 / EDAS 应用等自动升级场景 >=2.7.1.2,其他场景(手动升级)>=2.7.1.3。应用首次开启接入ARMS应用安全,需要重启应用实例。

2、在左侧导航栏,选择应用 > 攻击统计页面

图片

当受到 Log4j2 远程代码执行漏洞攻击时,ARMS 应用安全会识别上报攻击行为事件。还可通过配置告警规则,通过短信、钉钉、邮件等渠道接收攻击告警通知。默认防护模式为监控模式,建议观察一段时间后调整防护设置为监控并阻断,一旦发生攻击行为可以直接阻断,保障应用安全运行。

3、在左侧导航栏,选择应用安全 > 危险组件检测,针对三方组件以来自动分析关联 CVE 漏洞库并提供修复建议

图片

4、危险组件全量自查,通过搜索查看所有接入应用是否包含 Log4j 组件,并确定组件版本

图片

修复升级与建议

(1)排查应用是否引入了 Apache Log4j-core Jar 包,若存在依赖引入,且在受影响版本范围内,则可能存在漏洞影响。请尽快升级 Apache Log4j2 所有相关应用到最新的 Log4j-2.15.0-rc2 版本。

地址:https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2

(2)升级已知受影响的应用及组件,如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

(3)可升级 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上,可以在一定程度上限制 JNDI 等漏洞利用方式。

(4)尽可能杜绝对外开放端口,加强应用的证书验证管控,最大可能减少外网攻击面。

(5)在外网开启 Web 应用防火墙 +RASP 组合,采取行为和应用运行时上下文防御策略。

(6)安全配置评估中,严格控制开源软件安全,并自建内部安全版本库,及时更新。

(7)建立多层检测防御体系,采用内网多层隔离,并全面提升威胁检测能力。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里!

 

评论列表

为你推荐

企业管理问题之网络安全,不是你以为的技术问题

企业管理问题之网络安全,不是你以为的技术问题

网络安全是指网络系统的硬件、不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,软件及其系统中的数据受到保护,数字化安全系统连续可靠正常地运行,网络服务不中断。 2020年4月27日,国家发布有关网络安全的方法是由互联网信息办公室、国家发展和改革委员会、工

2020-05-18 16:35:42

合规检查,安全服务,5G移动应用安全防线

合规检查,安全服务,5G移动应用安全防线

随着5的到来以及发展趋势,全球60%企业启动5G技术,在互联网,生产力提升的同时,安全风险也逐步叠加。特别是移动互联网已经涉及到家家户户,与工业设置,交通安全,休闲娱乐,企业发展紧密结合,移动应用就变得重要了。APP的研发爆发式增长,安全问题层出不穷,反向

2020-03-25 15:55:10

你知道什么是移动应用安全网关吗?

你知道什么是移动应用安全网关吗?

安全网关是各种技术有趣的融合,其范围从协议级过滤到十分复杂的应用级过滤,具有重要且独特的保护作用。防火墙主要有三类: 分组过滤 电路网关 应用网关。 提起安全网关,就不得不说一下指掌易移动应用安全网关(MAG)了,它面向移动办公场景提供的轻量化网关产品,

2020-05-19 16:38:46

2020年关于网络安全领域的五大预测

2020年关于网络安全领域的五大预测

对于网络安全人员来说,必须主动掌握应对网络威胁,而不是被动应对网络威胁,在不断变化的威胁形势下,仅仅填补漏洞或为以前的威胁设计一个安全态势已经远远不够了。新的一年即将到来,随之而来的是新的威胁和趋势,特别是在网络安全领域

2020-03-11 17:57:04

数安法和个保法来了,且看 IBM 安全解决方案如何接招

数安法和个保法来了,且看 IBM 安全解决方案如何接招

隐私数据安全问题一直被大家广泛关注,拿千家万户的生活刚需——快递行业来说,每年都要发生数百起数据泄露事件,殃及上亿用户,尤其是双十二之际,快递的重要性极具突显,但与此同时,隐私数据泄露造成的问题和不便,实际上随处可见。

2021-12-14 17:51:15

快来了解一下什么是安全网管系统

快来了解一下什么是安全网管系统

在全球流行的深度打击实体经济,现在,再次给企业的数字化改造敲响了警钟,兼并和加快跨部门跨组织及数字化协同的业务流程,安全网管系统正在成为管理者办公桌的日常选择。 安全网管系统是由一些不同技术的奇妙融合而形成的,它不仅可以实现一些简单的协议级过滤,还能实现

2020-04-30 16:55:30

严选云产品

OgPhone国际云手机 OgPhone国际云手机,全球社媒营销,就选OgPhone,无需购买多台真实手机,一人即可在电脑面前操作N台云手机,N个社媒账号为您引流带货。
隆道企业SRM采购平台 隆道企业SRM采购平台,为企业构建采购寻源、采后协同、供应商管理、价格管理、商城交易和管理驾驶舱六大采购管理体系。为企业构建健康合理的采购管理体系和可持续的供应链生态环境,独立移动端及微信小程序,满足业务部门用户的移动办公需求。
富通云腾CMP多云管理平台 富通多云管理平台(CMP)站在整个企业全局高度,管理企业多云/混合云资源,通过平台对各种复杂的多资源、多组织、多场景、多应用、多环境的标准化、协同化, 打通信息孤岛、互联互通从而做到统一门户,统一服务,统一管理。
X-Suite一站式大数据分析平台 Yonghong X-Suite是面向部门级或中小企业的自助式分析应用,快速整合海量数据,提供易用、高效的数据可视化分析。
火山引擎智能营销套件 增长分析平台 一站式用户分析与运营平台,为企业提供数字化消费者行为分析洞见,优化数字化触点、用户体验,支撑精细化用户运营,发 现业务的关键增长点,提升企业效益
美迪索科智慧工厂物联网定位解决方案 美迪索科智慧工厂物联网定位解决方案,基于物联网、人工智能、云计算、GIS等领域长期积累的实践经验,围绕工厂安全生产流程管理过程,打造智能化、数据化、图形化、信息化管理平台,有效帮助企业实现生产安全管理,提高对工厂内部员工、外来访客的管理水平,实现智能化管理机制。

甄选10000+数字化产品 为您免费使用

申请试用