2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了ApacheLog4j2远程代码执行漏洞,编号为CVE-2021-44228。【漏洞描述】ApacheLog4j2是一个开源的Java日志记录工具。该工具重写了Log4j框架,引入了大量丰富的特性。它可以控制日志信息传输到控制台、文件、GUI组件等的目的地,在国内外得到广泛应用。12月10日凌晨,Apache开源项目ApacheLog4j2被曝存在远程代码执行漏洞。它有一个JNDI注入漏洞。攻击者利用该漏洞通过构造恶意请求在目标服务器上执行任意代码,导致服务器被攻击者控制。因此,页面篡改、数据窃取等行为危害极大,几乎所有行业都受到该漏洞的影响。【验证级别】CNVD综合评级为“高危”【影响范围】Java产品:ApacheLog4j2.x<2.15.0-rc2【修复建议】目前漏洞POC已经公开,官方安全版已经发布被释放。如果使用Java开发语言的系统,需要尽快确认是否使用ApacheLog4j2插件,并尽快升级到最新版本。时间点:2021年12月7日,Apache正式发布log4j-2.15.0-rc12021年12月10日,Apache正式发布log4j-2.15.0-rc22021年12月11日,Apache正式发布log4j-2.15.0(同log4j-2.15.0-rc2)2021年12月13日,Apache官方发布log4j-2.16.0-rc1地址:https://github.com/apache/log...蚂蚁节安全RASP紧急止血方案【RASP详解】RASP对Log4j漏洞有天然的保护作用,因为RASPhook了应用内部的关键函数,只关注执行动作。只要使用RASP部署的应用程序具有不依赖外界的自我保护能力,即:RASP本身具有拦截攻击者读取/修改敏感路径下的文件、发送外部链接等行为的能力,攻击者不能对应用造成过多的高危破坏性攻击。AntSectionalSecurityRASP在高维层面针对Log4j漏洞采取了应急措施,分为三个阶段:Stage1:在没有攻击poc的情况下,不采用基于猜测的解决方案。从网络相关的注入点入手,查看是否包含log4j相关的栈进行拦截。缺点:常规的网络请求会经过这个注入点,需要获取栈匹配,对性能影响很大。从JNDI的关键底层方法,通过检查是否包含log4j相关栈来拦截。缺点:需要获取栈匹配,影响应用程序正常使用JNDI的能力,对性能有一定影响。Phase2:拿到poc后,快速制定并验证止血策略,确认RASP参战。由于JNDI是以log4j的插件形式存在的,所以有统一的执行入口。从栈图中我们可以看出RASP可以从几个地方进行拦截,其中“InitialContext.java:417”为native底层方法,缺点上面已经说了,所以可用点为“JndiManager.java:85”和“JndiManager.java:61”。其中注入点“JndiManager.java:85”是在2.1.x之后引入的,注入点“JndiManager.java:85”可以覆盖2.x的所有版本,但是为了避免通过其他漏洞绕过执行,这两个注入点最终都进行了拦截,包括在获取jdbc连接地址时使用jndi,因为这种情况是由log4j2配置触发的,而不是外部输入的。缺点:无优点:由于不需要匹配任何参数,所以不用担心性能问题;使用JNDI时只会触发解析后的内容,无需担心各种变体payload,无对抗成本;仅针对log4j2本身使用JNDI的场景,不影响应用程序正常使用JNDI的能力。第三阶段:RASP部署发布+止血策略发布,一直持续到今天,蚂蚁安全团队已经开始根据危害程度分批部署发布止血策略。Day1:主动外联灰度预发环境止血高危应用完成。Day2:93%的主动外联高危应用上线完成止血。【RASP紧急止血效果】拿到poc后20分钟,防御策略完成,验证成功。2小时内完成log4j2.x所有版本包括对应sec版本的兼容性测试。24小时内完成高危应用预发布和灰度环境的止血,并在生产环境进行小规模验证。48小时内完成93%的高危应用生产环境止血。【RASP急诊止血优势】优势一:以数据为载体的漏洞在业界很少见,导致WAF的应用范围有限。一旦攻击者越界,在公司技术系统内横向移动,就无法控制。因此,采用纵横安全RASP技术从内部进行阻断拦截更为准确有效。优势二:相对于传统安全产品和正式版修复方式,RASP具有:无需等待官方解决方案,只要知道漏洞利用的细节,RASP就可以开始发挥作用。使用面对面的RASP参与止血之战,让研发工程师们在短时间内无法翻墙。RASP在不打乱研发升级节奏的情况下,赢得了两周的缓冲时间,提升了研发工程师的幸福感。RASP适应各种环境,不考虑升级版本的兼容性。优势三:蚂蚁安全团队导出了针对Log4j漏洞的minirasp小工具,供生态伙伴和一些内部非标准技术栈应用应急使用。定制的迷你锉效果超出预期。对标准RASP无法覆盖的海量数据处理任务和海量udf起到了关键作用,可以止住这个Log4j漏洞带来的痛苦。Ant-AspectSecurityRASP为应用程序运行时安全提供疫苗级保护。当前网络安全形势越来越严峻。传统的基于流量检测的边防产品很容易被绕过,而基于规则库更新的安全产品时效性更差。反应速度太慢的安防产品已经不能满足安防市场的需求。2012年,Gartner首次提出了一种新的Web保护技术——RASP(RuntimeApplicationself-Protection)。不同于传统的安全产品,RASP是一种基于行为和上下文语义分析的新型安全技术。它挂钩应用程序内部的关键功能,只关注执行动作,并在不更新策略或升级应用程序代码的情况下检测/拦截未知。漏洞,RASP像疫苗一样被注入到应用程序实体中,使应用程序在不依赖外界的情况下具有自我保护的能力。一句话概括:加载了RASP的应用,对Log4j2漏洞具有天然的防护能力。此外,所有由JNDI注入引起的远程命令执行、文件目录列表、任意文件上传、敏感文件下载等均可拦截。此外,AntRASP还支持检测/阻断内存马攻击、反序列化漏洞、命令注入、任意文件上传、远程命令执行等,全面覆盖2021版OWASPTOP10中的Web应用安全风险类别。AntRASP为企业应用程序提供功能级的实时保护。具有强大的启发式检测能力,秒级拦截,紧急止血,提高安全等级。特别适用于大量使用开源组件的互联网应用或第三方集成商开发的应用。
