漏洞概要

漏洞編號:CVE-2021-44228
風險等級:CVSS 3.0評分10分(最嚴重10分) 
影響產品:Apache Log4j 2.0-beta9至2.14.1
解決方法:1. 安裝Apache推出的Log4j 2.15版 2. 使用較新版本的Java SDK(JDK),限制JNDI漏洞利用
​攻擊利用:已知攻擊手法與攻擊事件

事件概覽

Apache甫於12月初前發布Log4j修補版本2.15.0,修補一重大漏洞(CVE-2021-44228),此漏洞約於12月10日開始受關注,當日我們報導此漏洞警訊,是阿里雲安全團隊在9日率先公告,他們指出是在11月24日向Apache官方提報這次漏洞,不過這時雙方並未公布CVE漏洞編號,我們僅能從GitHub Advisory Database找出此RCE漏洞是CVE-2021-44228,而NIST NVD的漏洞頁面則尚未公開(直到美國時間10日才發布)。

到了12月11日與12日,隨著更多資安人員關注到此漏洞,相關漏洞資訊與影響也接連曝光,該漏洞被命名為Log4Shell,CVSS風險分數為滿分10分,而且許多大型IT公司的應用系統都使用這款工具,也導致許多業者已經發布產品資安公告,包括Cisco、NetApp等,還有研究人員指出蘋果iCloud、遊戲平臺Steam等都受影響。研究人員Marcus Hutchins更是指出,「有數百萬款應用程式使用Log4j記錄程式活動,而攻擊者只需在聊天欄位發出訊息,將可能觸發與利用這個漏洞。」

漏洞說明

編號為CVE-2021-44228的日誌框架系統Apache Log4j重大漏洞,肇因於某些功能存在遞迴解析功能,存在JNDI注入漏洞,而攻擊者可直接發出惡意請求,觸發遠端程式碼執行漏洞。

影響程度

此漏洞經由CVSS 3.0漏洞評分系統評估為10分(最嚴重為10分),屬重大危險等級的漏洞。

由於使用存在漏洞版本的Log4j,將無法防範攻擊者控制LDAP與其他JNDI有關的端點,一旦攻擊者掌握了事件記錄訊息或是參數,有可能在訊息探索啟用的情況下,從LDAP伺服器載入程式碼的管道,執行任意程式碼。

漏洞利用

研究人員p0rz9在GitHub上揭露該漏洞的概念驗證攻擊程式,公布不到1天,資安廠商GreyNoise已偵測到有將近100臺主機利用CVE-2021-44228發動攻擊,這些伺服器大部分是Tor出口節點。

此外,紐西蘭電腦緊急回應小組(CERT NZ)也於12月10日指出,他們獲報此漏洞遭到廣泛利用的跡象。思科亦於12日表示他們在2日開始觀察到相關攻擊活動。Sophos則發現Mirai、Tsunami、Kinsing等殭屍網路開始利用CVE-2021-44228,以利用受害伺服器進行挖礦,他們從12月9日開始,檢測到數十萬次的漏洞利用探測行為。

漏洞修補

由於有多款軟體套件裡包含了Log4j,例如:Apache Struts2、Apache Solr、Apache Druid、Apache Flink,故應用系統的管理者需著手調查,是否採用名稱含有log4j-core的JAR檔案,假如此檔案有被引入使用,且為受影響的版本,管理者應從Apache網站下載最新版本,並儘速升級(2.15.0以上版本)。

若是無法更新Log4j,阿里雲也提到能使用較新版本的Java SDK(JDK),藉由限制JNDI漏洞利用的方式,來暫時緩解漏洞所帶來的風險。這些版本的SDK是6u211、7u201、8u191、11.0.1。再者,對於Log4j 2.10以上版本,亦可修改配置來達到緩解效果:將log4j2.formatMsgNoLookups的值設定為True,或將JndiLookup類別從classpath路徑刪除。

Log4j 1.x不會直接受到這個漏洞影響,但該版本產品生命週期已經結束(EOL),可能存在其他RCE漏洞且不會有修補程式,使用者仍應升級2.15.0以上版本。

Apache Log4j資安弱點公告(Security Vulnerabilities)頁面https://logging.apache.org/log4j/2.x/security.html

事件時間軸

2021年11月24日 阿里雲安全團隊向Apache通報Log4j遠端程式碼執行漏洞
2021年12月7日 Apache發布Log4j 2.15.0修補漏洞(當地12月6日)
2021年12月9日 阿里雲安全團隊發布Log4j的RCE漏洞預警
2021年12月10日 研究人員p0rz9在GitHub上揭露概念驗證攻擊程式 
2021年12月11日 NIST NVD的CVE-2021-44228漏洞頁面公開(當地12月10日)
2021年12月14日 Apache發布Log4j 2.16.0(當地12月13日)
2021年12月15日 NIST NVD的CVE-2021-45046漏洞頁面公開(當地12月14日)
2021年12月18日 Apache發布Log4j 2.17.0(當地12月17日)
2021年12月20日 NIST NVD的CVE-2021-45105漏洞頁面公開(當地12月19日)
2021年12月29日 Apache發布Log4j 2.17.1(當地12月28日)
2021年12月29日 NIST NVD的CVE-2021-44832漏洞頁面公開(當地12月28日)

 

相關資訊

 

熱門新聞

Advertisement