来源:21世纪经济报道
原标题:Apache Log4j爆高危漏洞危害堪比“永恒之蓝” 已发现近万次攻击
近日,被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器。几乎所有行业都受到该漏洞影响,包括全球多家知名科技公司、电商网站等,漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。
据奇安信集团透露,根据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求。奇安信已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。
经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。
前晚,互联网上曝出了 Apache Log4j2 中的远程代码执行漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。融安网络为防止其继续扩大影响范围,特发布针对该漏洞的分析和修复建议。
一、漏洞介绍
Apache Log4j 是 Apache 实现的一个开源日志组件。Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j1.x 提供了重大改进,并提供了 Logback 中可用的许多改进。Apache Log4j2 中存在远程代码执行漏洞,在使用特定的 JNDI 内容进行日志记录时可以触发反序列化漏洞,造成远程代码执行。
二、漏洞利用细节
漏洞评级:【高危】
CVSS评分:10(最高级)
该漏洞影响范围极广,危害极大。
漏洞状态:
三、漏洞编号
CVE漏洞编号暂未分配。
四、影响范围
Apache Log4j 2.x <= 2.14.1
五、修复建议
升级项目使用的 Apache Log4j2 到最新 log4j-2.15.0-rc2 版本,具体下载地址如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
未能及时升级的缓解措施:
1.添加 jvm 参数 -Dlog4j2.formatMsgNoLookups=true
2. log4j2.formatMsgNoLookups=True
六、融安网络安全产品防护处理
已支持该漏洞的检测和防护。
