注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

漏洞预警 2年前 (2021) admin
1,381 0 0
                     



点击上方 订阅话题 第一时间了解漏洞威胁

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

0x01 漏洞状态


细节是否公开

PoC状态

EXP状态

在野利用

未公开

未公开

未公开

未知


0x02 漏洞描述


    Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录组件,属于供应链中非常基础的组件。官方已于2015 年 8 月终止该组件的更新、维护。

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

    2021年12月15日,360漏洞云监测到redhat披露了Apache Log 1.2 中存在的一个远程代码执行漏洞,漏洞编号:CVE-2021-4104,漏洞威胁等级:中危,漏洞评分:6.6。

    Apache Log4j 1.2版本的Java日志库中存在一个缺陷,其JMSAppender容易受到不受信任数据的反序列化的影响,如果部署的应用程序配置为使用JMSAppender和攻击者的JMS Broker,这允许远程攻击者在服务器上执行代码。

    经360漏洞云安全专家研判,该漏洞风险远低于log4j2漏洞,此缺陷仅影响专门配置为使用JMSAppender的应用程序,且这不是应用程序默认的配置,故Red Hat评估为中等严重程度。若Log4j配置被人为设置为TopicBindingName或TopicConnectionFactoryBindingName配置,允许JMSAppender,则风险以类似于CVE-2021-44228 Log4j 2.x的方式执行JNDI请求,此时Log4j 1.x是脆弱的。然而,攻击面会减少,因为它依赖于写入访问,这并不是标准配置,而且还是不受信任的用户输入。

    利用条件:攻击者获得写入权限、改变配置、启用JMSAppender、发起攻击,然而这些都不是攻击者能够掌控的。

0x03 漏洞影响力分析


漏洞利用条件分析 
配置文件写权限:攻击者需通过其他漏洞达成
修改配置:攻击者需通过其他漏洞达成
触发方式:本地(其他漏洞) + 远程(JNDI)
配置方式:不是默认
特殊利用条件:需要外网交互
 
综合评价
利用难度:高
威胁等级:中等,能造成远程代码执行
 
影响面分析
通过GitHub对主流的Java日志记录组件进行检索分析得知,log4j  在全球的关注量仅次于 log4j2,位列第四。           
组件名称
GitHub关注数量
Logback
2.2K
Slf4j
1.8K
Log4j2
1.3K
Log4J
780
Commons Logging
111
    由于Log4j 1.2漏洞利用需要通过对外网进行请求修改配置、再加载恶意类的方式进行,但codebase在高版本的JDK中默认为True(JDK 11.0.1、JDK 8u191、JDK 7u201、JDK 6u211 起 codebase 默认为 true),导致客户端默认不会请求远程服务端上的恶意 Class文件,所以漏洞不会全量影响使用了存在漏洞组件的产品。

    根据网络空间测绘系统Quake探测的全网使用Java语言编写的产品部署量如下图所示:
注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)
    从使用量全球Top5的统计表中可以看出,Java开发语言的使用量第一名是美国,第二名是中国,且中美的使用量几乎持平。
注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)
    在国内Java开发的组件的部署量重点地区是北京市、广东省、浙江省、上海市以及香港特别行政区。
注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)
    综上,根据 Log4j的本身的使用量影响量,再根据Java语言开发的产品组件的全球分布和国内分布,可大致推算出本次Log4j1.2漏洞在全球影响最大的地区仍然是中国和美国,在国内需要着重关注的地区是 北京、上海、广东、浙江、香港。

    由于此漏洞组件属于Java产品的供应链级基础组件,漏洞影响面覆盖全行业。凡是使用了Java作为开发语言研发产品的企业,或者使用了Java语言开发的产品的企业,企业内部均需要自查自身的安全隐患。重点需排查上线多年的老系统。

0x04 危害等级


中危(6.6)

0x05 漏洞复现


2021年12月10日,360漏洞云安全专家已第一时间复现上述漏洞,演示如下:
注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)
CVE-2021-4104

完整POC代码已在360漏洞云情报平台(https://loudongyun.360.cn/)发布,360漏洞云情报平台用户可通过平台下载进行安全自检。

0x06 影响版本


Apache Log4j 1.2


0x07 修复建议


1. 尽快通过参考链接中官网地址升级到最新版本:
https://github.com/apache/logging-log4j2/tags

2. 缓解措施
a)限制操作系统用户在运行应用程序的平台上的访问权限,以防止攻击者修改Log4j配置,也就是关闭写权限。
b)注释掉或删除 Log4j 配置中的 JMSAppender
c)从类路径中删除 JMSAppender 类。例如:
zip -q -d log4j-*.jar org/apache/log4j/net/JMSAppender.class

3.排查日志集中管理服务器,以及基于java开发的商业软件,以及其他可能存在隐患的基础环境。

4.排查范围
a)生产环境(业务运行正式环境)
b)测试环境(系统发布前测试的环境)
c)开发环境(所有当前系统开发者的环境)
d)代码版本管理环境,同时对发布库旧版本包的风险标记

5.同时建议您使用360相关安全产品及服务,为您保驾护航。

0x08 时间轴


2021-12-15 10:00 – 360漏洞云监测到redhat披露了Apache Log 1.2 中存在的远程代码执行漏洞。

2021-12-15 16:10 – 360漏洞云发布安全动态。

2021-12-15 17:00 – 360漏洞云第一时间复现该漏洞。


0x09 产品侧解决方案


三六零云探安全监测系统,是一款面向党政军、金融、教育和互联网用户的综合型SaaS化网站应用安全监测服务产品,可有效监测网站的异常,发现企业网站的安全问题,目前已可以针对此漏洞进行安全监测。

三六零磐云安全防护系统,是集合网站配置、防护、加速、管理于一体的基于SaaS化安全防护产品,旨在解决用户网站安全问题,目前已可以针对此漏洞进行安全防护。

360AISA全流量威胁分析系统,是基于360海量安全大数据及丰富的攻防实战经验,利用AI、机器学习等技术研发的新一代威胁感知产品,能够精准发现攻击入侵行为、高级威胁活动,目前已可以针对此漏洞进行安全防护。

360本地安全大脑,是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑目前已可以针对此漏洞进行安全防护。

0x10 获取更多情报


建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
电话:010-52447660
邮箱:[email protected]
网址:https://loudongyun.360.cn

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)


 End –


360漏洞云介绍
360安全大脑漏洞云以技术为驱动,以安全专家为核心,围绕漏洞生态体系打造集漏洞监测、漏洞收集、漏洞挖掘、漏洞存储、漏洞管理、专家响应、漏洞情报预警、安全服务定制化于一体的漏洞安全一站式服务,帮助客户防患于未然,在降低资产风险的同时,大幅提升客户对漏洞感知、预警、分析等响应能力,为国家、政企客户、用户抢占风险预警处置先机,提升网络安全主动防护能力。

原文始发于微信公众号(360漏洞云):注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104)

版权声明:admin 发表于 2021年12月15日 上午10:59。
转载请注明:注意!Log4j 1.2 JMSAppender 远程代码执行漏洞(CVE-2021-4104) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...