Jake King

Log4Shell 漏洞及 CVE- 2021- 45046 分析

在这篇文章中,我们将介绍 Elastic Security 团队为用户采取的后续步骤,以继续保护他们免受 CVE-2021-44228 或 Log4Shell 的侵害。

5 分钟阅读安全研究, 漏洞更新
Analysis of Log4Shell vulnerability & CVE-2021-45046

要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处的公告。

本文档于 2021 年 12 月 17 日更新,以反映 CVE-2021-45046 的修订 CVSS 分数以及社区的新发现。

最近几天,Log4Shell 或 CVE-2021-44228 在信息安全领域及其他领域的新闻报道中占据主导地位。Elastic 发布了一份公告,详细说明了 Elastic 产品和用户受到的影响,以及一篇博客文章,描述了我们的用户如何利用 Elastic Security 来帮助防御他们的网络。

许多读者进一步询问我们在 Elastic Security 中如何跟踪此问题、我们现在的覆盖范围以及我们接下来要做什么。这篇文章概述了我们当前状态的一些细节,并提供了有关一个新的相关漏洞的详细信息:CVE-2021-45046。

Elastic Security 响应

正如您可能想象的那样,该团队一直在不懈地工作,以确保我们正在开发针对该漏洞的积极利用以及漏洞利用后指标的检测,并将继续积极开发,直到另行通知。

我们正在花费时间专注于更详细的检测,这些检测更好地与攻击者现在正在利用的一些新兴趋势保持一致,因为他们有时间制定他们的攻击策略。而且我们并非在沉默中工作 — 那些可能有机会赶上我们几天前的原始帖子的人会惊喜地发现我们添加了更多检测和狩猎示例,并且会随着我们与社区的了解更多而继续这样做。

除了威胁研究和签名开发之外,我们还注意到了一些有趣的观察结果

  • 我们注意到多个通用加密货币矿工部署在 Linux 上的实例,这些实例似乎与利用此 CVE 有关,但确定它们是良性的真阳性
  • 我们已经阻止了至少八个不同的恶意软件家族使用 log4j 漏洞进行部署,这表明各种威胁都在广泛采用该漏洞
  • 虽然我们正在观察我们完整保护套件(例如行为保护)的覆盖范围,但值得注意的是,我们免费的基本层恶意软件保护正在成功地防止初始访问

我们将致力于让用户和读者了解调查结果,并希望在我们看到它们时分享其他野生观察结果。

一个新的竞争者:CVE-2021-45046

当我们关注 CVE-2021-44228 (Log4Shell) 漏洞在新闻周期中占据主导地位时,一个新的竞争者 CVE-2021-45046 被意外引入 Log4j2j 版本 2.15.0 中,允许攻击者通过特制有效负载调用拒绝服务和远程代码执行条件。根据 CVE 详细信息,先前通过将 log4j2.noFormatMsgLookup 状态设置为 true 来避免信息泄露漏洞的先前缓解措施不能缓解这一新发现。

虽然最初 CVE-2021-45046 由于可以调用的最初发现的条件的影响而具有较低的 CVSS 分数 3.7,但已重新评估为 9.0,表明可能存在有限的远程代码执行。该发现于 2021 年 12 月 16 日由 Alvaro Muñoz 分享,他确定,虽然默认设置 formatMsgNoLookups 已准确设置为 true,但仍有其他位置可以进行查找。技术细节仍在社区中展开,但是 Log4j2 团队在其安全更新中分享了以下消息

这些措施不足的原因是,除了上述线程上下文攻击向量之外,Log4j 中仍然存在可能发生消息查找的代码路径:已知的例子是使用 Logger.printf("%s", userInput) 的应用程序,或者使用自定义消息工厂的应用程序,其中生成的消息不实现 StringBuilderFormattable。可能还有其他攻击向量。

最安全的方法是将 Log4j 升级到安全版本,或从 log4j-core jar 中删除 JndiLookup 类。 参考此处

鉴于此新信息,以及可用于利用的现成的POC,Apache 团队建议受影响的用户升级到最新的安全 Log4j2 版本,或者从 log4j-core jar 中删除 JndiLookup 类。

Elastic Security 已经观察到许多威胁行动者和良性扫描程序已经在某些边缘环境中利用这种新方法,其有效负载结合了以前的攻击方法,例如密钥提取尝试和 base64 编码的有效负载

我们预计会随着我们了解到的更多信息而添加更多细节,并特别感谢 lunasec 团队提供有关这种新情况的详细的早期摘要,当然,也要对 Github Security Lab 的 Alvaro Muñoz 的发现表示感谢。

再次感谢!来自 Elastic Security

我们要感谢全球所有的安全团队本周的不懈努力。正如我们之前提到的,在面对如此严重和普遍的漏洞时,安全社区的开放和协作对于保护所有用户至关重要。

现有的 Elastic Security 用户可以在产品内访问这些功能。如果您是 Elastic Security 的新手,请查看我们的快速入门指南(小型的培训视频,可让您快速入门)或我们的免费基础培训课程

开始使用 Elastic Cloud 的 14 天免费试用。或者下载免费的 Elastic Stack 自我管理版本。

参考

https://logging.apache.ac.cn/log4j/2.x/security.html

https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/

分享这篇文章

TwitterFacebookLinkedInReddit