第1章 安全通告
尊敬的客户:
近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。
本次更新内容:修改漏洞描述。
新增发现在野利用、POC/EXP公开状态、技术细节公开状态。
当前漏洞状态:
技术细节 |
PoC 状态 |
EXP 状态 |
在野利用 |
已公开 |
已公开 |
已公开 |
已发现 |
奇安信CERT将持续关注该漏洞进展,并第一时间为您更新该漏洞信息。
第2章 文档信息
文档名称 |
Apache Log4j任意代码执行漏洞安全风险通告第二 次更新 |
关键字 |
Apache Log4j、代码执行漏洞 |
发布日期 |
2021年12月10日 |
分析团队 |
奇安信CERT |
第3章 漏洞信息
3.1 漏洞描述
ApacheLog4j是Apache的一个开源项目,Apache log4j2是Log4j的升级版本,我们可以控制日志信息输送的目的地为控制台、文件、GUI组件等,通过定义每一条日志信息的级别,能够更加细致地控制日志的生成过程。
近日,奇安信CERT监测到Apache Log4j存在任意代码执行漏洞,经过分析,该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
经奇安信CERT验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等众多组件与大型应用均受影响,鉴于此漏洞危害巨大,利用门槛极低,奇安信CERT建议用户尽快参考缓解方案阻止漏洞攻击。
Apache Log4j任意代码执行漏洞
漏洞名称 |
Apache Log4j任意代码执行漏洞 |
漏洞类型 |
代码执行 |
风险等级 |
紧急 |
漏洞ID |
暂无 |
公开状态 |
已公开 |
在野利用 |
已发现 |
漏洞描述 |
Apache Log4j是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。经过分析,Log4j2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行 任意代码。 |
参考链接 |
https://github.com/apache/logging-log4j2 |
奇安信CERT第一时间分析并复现了该漏洞,复现截图如下:
3.2 风险等级
奇安信CERT风险评级为:紧急风险等级:蓝色(一般事件)
第4章 影响范围
Apache Log4j 2.x <= 2.14.1
第6章 产品解决方案
6.1 奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对Apache Log4j任意代码执行漏洞的防护。
6.2 奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至”2112092130”及以上版本并启用规则ID:4347001进行检测。
6.3 奇安信开源卫士已更新
奇安信开源卫士20211209.907版本已支持对Apache Log4j任意代码执行漏洞的检测。
第7章 参考资料
[1] https://github.com/apache/logging-log4j2
[2] https://github.com/apache/logging-log4j2/commit/7fe72d6
