核弹级漏洞Apache Log4j2曝光,或影响70%以上企业
发布时间:2021-12-17 浏览数:217

近期,Apache Log4j2远程代码执行漏洞(CNVD-2021-95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可在未授权的情况下远程执行代码,获得服务器控制权限。据了解,该漏洞具有危害程度高、利用难度低、影响范围大的特点。


       目前,奇安信提供了该漏洞在国内的威胁和影响情况。



在漏洞威胁方面,根据奇安信网络空间测绘平台(Hunter)截至2021年12月10日的测绘数据,依据排名前10的Java组件统计分析,受Apache Log4j代码执行漏洞影响的前十大省级单位(含直辖市、自治区、特别行政区)分别为北京市、广东省、香港特别行政区、江苏省、上海市、浙江省、湖北省、山东省、河南省、安徽省。

其中北京市受该漏洞影响最大,暴露在公网上的资产总数为1,763,977个,占北京市Web资产总数比例大于10%。


在实际生产环境,虽然很多系统并未使用Java,但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件,也会通过前台的输入产生实际影响。因此,实际影响面远超想象。


在利用该漏洞的攻击数量方面,根据奇安信司南平台监测数据显示,首次攻击量级波动出现在12月9日下午16点,随后趋于平静。到凌晨0点开始,攻击数量出现大幅度增加,并持续2个多小时。到10日上午9点和12点,攻击数量再次出现两个高峰。

对于疑似受到攻击的网站数量,在12月9日下午开始增加,凌晨达到一次高峰,10日早晨9点左右,量级再次激增,10点钟达到第二个高峰,12点达到第三个高峰,也是全天的最高峰。被攻击的网站数量和攻击次数的波峰时间基本吻合。 


奇安信安全专家表示,本次漏洞之所以影响范围极大,其核心仍然是软件供应链安全问题。由于该组件应用范围十分广泛,所有使用该组件的所有产品都会受到漏洞影响,因此对其下游造成的软件供应链安全隐患巨大。 

奇安信司南平台还显示,本次受到攻击行为的客户分布非常广泛,IT通信(互联网)、高校、工业制造、金融、政府、医疗卫生、运营商等几乎所有行业都受到波及,全球知名科技公司、电商网站等也未能幸免。其波及面和威胁程度,均堪比2017年的“永恒之蓝”。   



为正确处置突发漏洞风险,降低漏洞带来的损失,国家互联网应急中心提出以下建议:


一、漏洞修复建议
(一) 官方补丁
目前,Apache官方已发布新版本完成漏洞修复,请及时升级至最新版本2.16.0:
https://logging.apache.org/log4j/2.x/download.html。
(二) 临时修复措施(任选其一)
(1)添加jvm启动参数-Dlog4j2.formatMsgNoLookups=true;
(2)在应用classpath下添加log4j2.component.properties配置文件,文件内容为log4j2.formatMsgNoLookups=true;
(3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
(4)限制受影响应用对外访问互联网;
(5)禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true;
(6)部署使用第三方防火墙产品进行安全防护,并更新WAF、RASP规则等。

二、参考建议
序号

安全厂商

链接地址

1
奇安信科技集团股份有限公司
https://mp.weixin.qq.com/s/um4yi15P5bYC5kY1SDR3Uw
2
绿盟科技集团股份有限公司
http://blog.nsfocus.net/apache-log4j2/
3
上海斗象信息科技有限公司
https://vas.riskivy.com/vuln-detail?id=105
4
深信服科技股份有限公司
https://mp.weixin.qq.com/s/XL8Br8mGoJe71IWU4wyuGQ
5
北京数字观星科技有限公司
https://mp.weixin.qq.com/s/fFBaMAls7TFVg8UpEtZAgg
6
杭州安恒信息技术股份有限公司
https://mp.weixin.qq.com/s/jp_jBd9SN8pHy3jYc1rnTg
7
安天科技股份有限公司
https://www.antiy.com/response/20211210.html
8
启明星辰信息技术集团股份有限公司
https://mp.weixin.qq.com/s/SgBhyUfRff4YISsH5_PVTA
9
北京天融信网络安全技术有限公司
https://mp.weixin.qq.com/s/IT312b89Nh-cCDUGC-b-Zw
10
远江盛邦(北京)网络安全科技股份有限公司
https://mp.weixin.qq.com/s/cjvxyKhhZuwmp3qD1wBEqQ
11
东软集团股份有限公司
https://mp.weixin.qq.com/s/TOX6hbZ_6pNRvuYCjHPC-g

来 源 | 奇安信集团、国家互联网应急中心