上周披露的Apache Log4j重大风险漏洞Log4Shell,影响包括微软Minecraft、苹果iCloud、Steam等大型网站,被安全专家称为近10年来最严重漏洞。研究人员并发现已经有针对该漏洞的开采行动。
编号CVE-2021-44228的漏洞发生于开源日志数据库Log4j。Log4j的JNDI功能可用于组态、记录消息,包含于许多软件项目中,包括Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。用户涵盖全球最知名网络服务或网站,如苹果iCloud、推特(Twitter)、微软游戏《Minecraft》及Valve游戏平台Steam等,此外ElasticSearch、Elastic Logstash、Redis及美国国安局的Ghidra、以及CloudFlare、腾讯、百度等大型网站服务也都使用这项组件。
CVE-2021-44228是由阿里云安全研究团队发现、并于11月底通报Apache基金会的远程程序代码执行(remote code execution,RCE)漏洞。它是Log4j的JNDI API未能验证远程攻击者由恶意LDAP或其他端点发送修改过参数的log消息,而自LDAP服务器下载恶意程序代码至受害系统执行,最严重可接管整台系统。CVE-2021-44228又被称为Log4Shell。
美国NIST漏洞数据库并未给定CVE-2021-44228的CVSS 3.1风险值。但许多安全厂商皆判断属最严重等级的10分。安全厂商Tenable称其为10年最重大漏洞,Cloudflare首席执行官Matthew Price则说它是Heartbleed、ShellShock以来最严重漏洞
Log4Shell漏洞影响Log4j 2.0-beta-9和以上版本,以及2.14.1和以下版本。Apache基金会已发布更新版本2.15.0版。
上周一名代号p0rz9的研究人员于GitHub披露该漏洞的概念验证攻击程序。漏洞披露一天内安全厂商GreyNoise已侦测到有将近100台不同主机开采CVE-2021-44228,它们大部分是Tor出口节点。
图片来源_GreyNoise
加拿大媒体报道,魁北克省上周五在获知漏洞及PoC后,立刻采取预防措施,关闭近4,000台服务器。
Minecraft团队证实Log4j漏洞影响Minecraft Java Edition。知名安全研究人员Marcus Hutchins指出,攻击者只需要在Minecraft聊天字段粘贴一则短信即可触发RCE。
微软已经修补漏洞,但呼吁用户更新软件;他们必须先关关所有游戏的执行实例及Minecraft Launcher再重新启动、以自动下载最新版。但修改过的用户端、使用第三方Launcher者,以及自行运营Minecraft游戏服务器者则必须确认修补。
Apache基金会建议,企业应立即升级到Log4j v2.15.0。若使用Log4j 2.10以上版本而无法立即升级者,应将系统属性log4j2.formatMsgNoLookups参数由”false”改为”true”。使用2.10以前版本者,则应从classpath移除JndiLookup class,例如执行以下指令: