Apache Log4j2核弹级漏洞来袭!泰岳安全专项漏洞核查利器快速升级排查能力!
摘要
Apache Log4j2刷爆安全圈,泰岳安全迅速提供专项漏洞检测能力,依托产品线资产安全管控雷达系统(Ultra-AMR)与安全基线管理系统(Ultra-BMS)快速、精准排出存在受影响IT资产的范围,进行安全预警,成为用户紧急漏洞专项检测的利器。
惊爆Apache Log4j2漏洞!
“忽如一夜冬风来,漏洞排查急安排”,曾经刷爆安全圈(Struts2系列漏洞)的Apache软件基金会开源项目叕一次被爆出存在高危漏洞,这次是Log4j2。根据公开的漏洞情报信息,本次Log4j漏洞影响范围为低于2.15.0版本,涉及的代码包为:org.apache.logging.log4j:log4j-api 与 org.apache.logging.log4j:log4j-core。
图 一:从GITHUB更新来看,官方维护人员同样措手不及
Log4j的各个版本已覆盖于多种流行的开源组件,以致于也被普遍应用于企业级应用系统中,如此广泛的依赖为安全管理员的受影响IT资产范围排查带来不小工作量,整个生态圈甚至存在着多级依赖,Struts2、Druid、Flink等均受影响。可见,单纯的靠安全管理员和软件厂商手工排查已经不再现实。
图 二: Log4j2 关联项目图
泰岳安全积极响应,快速排查受影响面资产
传统的漏洞扫描机制多采用远程扫描探测的方式,优点是部署简单,但是缺点也同样很明显:一是完全依赖工具厂商官方漏洞库的更新,更新周期长,即便更新漏洞库后,又存在扫描检测耗时长的问题,对于企业级成千上万的IT资产范围来讲,容易贻误战机,致使错过漏洞风险排查处置的窗口期;二是传统漏扫工具的漏报率、误报率双高,本意是快速排查风险,却可能忙中添乱。
针对上述问题,泰岳安全技术团队针对此次紧急漏洞事件,迅速提供了Log4j2专项漏洞检测的能力,依托产品线 资产安全管控雷达系统(Ultra-AMR)与安全基线管理系统(Ultra-BMS),通过远程登录资产指纹采集、Agent方式资产指纹采集的技术手段,可快速、精准的排查出存在受影响IT资产的范围,进行安全预警,成为用户紧急漏洞专项检测的利器。同时,这两款产品还内置了各类高危的漏洞检测脚本,可实现类似本次Log4j2高危漏洞的快速排查、精准定位。
图三 :资产安全管控雷达系统(Ultra-AMR)- 可以采集和发现资产各类指纹信息,包含WEB中间件、Web开发框架、数据库、安装软件等信息,当发生紧急漏洞时,只需通过查询条件或全文检索即可筛选出受影响的范围
图四:Apache Log4j2相应版本已加入漏洞库
图五:仅通过页面搜索框检索条件即可进行排查
图六:Log4j2组件详情
图七:安全基线管理系统(Ultra-BMS) Log4j2漏洞检查发布功能
图八:安全基线管理系统(Ultra-BMS) Log4j2漏洞加固建议方案
不同于传统漏洞扫描检测机制,资产安全管控雷达系统(Ultra-AMR)与安全基线管理系统(Ultra-BMS)产品能够基于漏洞组件与版本的特征信息进行检测,可有效的提升漏洞检测的准确性和检测效率,非常适用于企业大量IT资产需短时间内得到排查结果的场景,若在前期已进行了一次资产信息指纹采集,还可将资产的漏洞风险排查耗时降到秒级。最后按照维度、地理位置、端口服务、具体IT资产生成检查报表,展现漏洞分布情况、漏洞数量排名、漏洞严重级别统计排名、漏洞信息明细等。
应急处置建议
紧急情况下若暂不具备修补应用系统的条件,可采用以下临时技术手段进行风险规避:
WAF中添加临时阻断规则
新建log4j2.component.properties配置文件,新加配置:log4j2.formatMsgNoLookups=true
在应用系统中禁用JNDI(需要确认是否有业务在使用JNDI)
如非业务需要,关闭受影响IT资产的互联网访问
