近日,白帽駭客資安網安全研究院發現網路上出現針對Apache Log4j應用的反序列化遠端代碼執行漏洞。在Log4j 1.2.X版本中包含一個SocketServer類,在偵聽日誌資料時,會對攻擊者發送的惡意資料進行反序列化,造成遠端代碼執行。
概況
Log4j是Apache的一個開源專案,通過使用Log4j,我們可以控制日誌資訊輸送的目的地是控制台、檔、GUI元件,甚至是套介面伺服器、NT的事件記錄器、UNIX Syslog守護進程等;我們也可以控制每一條日誌的輸出格式;通過定義每一條日誌資訊的級別,我們能夠更加細緻地控制日誌的生成過程。最令人感興趣的就是,這些可以通過一個設定檔來靈活地進行配置,而不需要修改應用的代碼。 ——百度百科
Apache Log4j主要用於企業內部,較少暴露在公網上,很難對其全球分佈有全面的認識。
漏洞原理
漏洞存在於org.apache.log4j.net.SocketServer類中,與CVE-2017-5645反序列化漏洞類似,攻擊者只要想向4560埠發送惡意資料,元件變會將其反序列化成物件,執行所構造的payload。
漏洞影響
影響1.2到1.2.17版本的Apache Log4j。
修復建議
及時升級到最新版白帽駭客資安網從事資訊安全,專注于安全大資料、企業威脅情報。
公司產品:FOFA-網路空間安全搜尋引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急回應服務。