如何分析最新log4j2遠程代碼執行漏洞

本篇文章給大家分享的是有關如何分析最新log4j2遠程代碼執行漏洞，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

問題描述

在12月9日晚間出現了Apache Log4j2 遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置，經多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。Apache Log4j2是一款流行的Java日志框架，建議廣大交易所、錢包、DeFi項目方抓緊自查是否受漏洞影響，并盡快升級新版本。

Apache Log4j2是一個基于Java的日志記錄工具。該工具重寫了Log4j框架，并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發，用來記錄日志信息。大多數情況下，開發者可能會將用戶輸入導致的錯誤信息寫入日志中。此次漏洞觸發條件為只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

經邊界無限安全攻防團隊研判后，認定該漏洞影響范圍極廣，漏洞危害極大。

影響判斷方式，用戶只需排查Java應用是否引入 log4j-api , log4j-core 兩個jar。若存在應用使用，極大可能會受到影響。

漏洞簡介

漏洞名稱 : Apache Log4j2遠程代碼執行漏洞

組件名稱 : Apache Log4j2

影響版本 : 2.0 ≤ Apache Log4j <= 2.14.1

漏洞類型 : 遠程代碼執行

利用條件 :

1、用戶認證：不需要用戶認證
2、前置條件：默認配置
3、觸發方式：遠程

綜合評價 :

<綜合評定利用難度>：容易，無需授權即可遠程代碼執行。

<綜合評定威脅等級>：嚴重，能造成遠程代碼執行。

臨時解決方案

緊急緩解措施

（1）修改 jvm 參數 -Dlog4j2.formatMsgNoLookups=true
（2）修改配置 log4j2.formatMsgNoLookups=True
（3）將系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

  檢測方案

（1）由于攻擊者在攻擊過程中可能使用 DNSLog 進行漏洞探測，建議企業可以通過流量監測設備監控是否有相關 DNSLog 域名的請求，微步在線的 OneDNS 也已經識別主流 DNSLog 域名并支持攔截。
（2）根據目前微步在線對于此類漏洞的研究積累，我們建議企業可以通過監測相關流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發現可能的攻擊行為。

當前官方已發布最新版本，建議受影響的用戶及時更新升級到最新版本。

以上就是如何分析最新log4j2遠程代碼執行漏洞，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。