CVE-2021-44228 - Apache Log4j 中出现允许远程代码执行 (RCE) 的零日漏洞
近期,开源日志库 Log4j 被曝出一个高危漏洞。该漏洞让攻击者可以在未经身份验证的情况下实施远程代码执行 (RCE),其 CVE ID 为CVE-2021-44228。 在过去 24 小时内,Akamai 直接配合客户部署 Web 应用程序防火墙 (WAF) 规则,以抵御相关风险。Log4j 库目前广泛应用于全球众多热门框架,这使得其漏洞影响范围极广。目前攻击者群体对于这一漏洞的利用也非常活跃,只要目标系统中有应用程序整合了该库,他们就可以通过滥用这一漏洞来在该系统上执行任意代码。
该漏洞波及多个 Log4j 版本以及依靠这些版本运行的应用程序(其中包括 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 及其他许多应用程序)。我们建议应用程序管理员和开发人员确认目前有哪些应用程序在使用 Log4j 软件包,一旦发现版本在此次漏洞影响范围(Log4j 2.0 - 2.14.1 版本)内的软件包,应尽快更新到 2.16.0 或更高版本。最新版本可从 Log4j 下载页面下载。
Akamai 已经为我们现有的 Apache 规则部署了更新,包括针对此零日 CVE 的抵御措施。这其中包括更新了 Akamai Kona 规则集或自适应安全引擎的规则 3000014(对于使用自动攻击组引擎的客户,我们已更新了命令注入组)。这些是 Akamai Kona Site Defender、Web Application Protector 以及 App & API Protector 产品中使用的引擎。对于使用以下保护引擎和对应版本的客户,只要客户目前在 DENY 模式下激活了这些规则(或攻击组),即可获得自动内嵌保护:
Kona 规则集 - 2019 年 10 月 29 日及后续发布的任何版本
自动攻击组 - 任意版本
自适应安全引擎 - 任意版本
托管面向互联网的应用程序的服务器可能已遭到入侵。在许多系统上,以下命令可以显示尝试利用漏洞的次数来确定入侵指标:
sudo egrep -i -r '\$\{jndi:(ldap[s]?|rmi|dns)://' /var/log
我们建议 Log4j 版本在 2.0 到 2.14.1 的所有用户尽快更新其版本,但如果无法立即更新,则应尽量严格地限制可能受此漏洞影响的机器执行出站访问。攻击者可使用多种出站协议利用存在漏洞的系统,因此阻止特定的出站端口或主机不足以防范相关攻击
使用 Guardicore Centra(现已纳入 Akamai 安全套件)的 Akamai 客户可利用 Centra 进程级监测能力,识别其网络内所有基于 Java 并且可能存在风险的应用程序。随后,客户即可大致摸清风险状况,评估风险级别(例如,面向互联网的服务、对整个数据中心公开的基础架构服务、为有限的用户和机器提供服务的本地应用程序),并在部署补丁之前应用快速响应分段规则来降低风险。
