Article / 文章中心

Log4j 漏洞不仅仅是修复,更需要构建有效预警机制

发布时间:2021-12-15 点击数:237

近日,被全球广泛应用的Java日志结构组件Apache Log4j被曝出一个高危缝隙,攻击者仅需一段代码就可长途操控受害者服务器,缝隙波及面和损害程度堪比2017年的“永恒之蓝”缝隙。

据外媒报导,Steam、苹果的云服务受到了影响,推特和亚马逊也遭受了攻击,元世界概念游戏“Minecraft我的世界”数十万用户被侵略。美联社评论称,这一缝隙可能是近年来发现的最严重的计算机缝隙。网友们也纷纷感慨,“这个缝隙就像把核武器按钮分给了所有人,并且告诉我们,我们随意按按试试”,“这个时代最不缺的大约便是末世感了吧”……


一.Log4j 为何被喻为“核弹级”

引起万众瞩目、程序猿连夜加班的Apache Log4j,是一个依据Java的日志结构,已于2015年8月5日中止保护。Log4j2是其重构晋级版别,新增的Lookups办法设计用于经过多种途径动态引进外部变量,被很多用于事务系统开发,用来记录程序输入输出的日志信息,运用极为广泛。

由于Log4j2版别可由JNDl注入完成长途代码执行,黑客无需暗码就能访问网络服务器,轻松操控目标设备。据统计,该缝隙影响6万多流行开源软件,影响70%以上的企业线上事务系统。

这一次缝隙的影响面之所以如此之大,主要仍是由于树大招风,log4j2的运用面实在是太广了。一方面现在Java技术栈在Web、后端开发、大数据等范畴应用十分广泛,除了大型互联网企业,还有数不胜数的中小企业选择Java。另一方面,很多像Kafka、Elasticsearch、Flink、Solr这样的中间件都是用Java语言开发的。在上面这些开发过程中,很多运用了Log4j2作为日志输出,一旦输出的日志有外部输入混进来,就会酿成大祸。

现在Apache官方已经发布了修正方案,一起各大厂商也已经给出了对应方案。作为该缝隙的发现者,阿里云的应对相对沉着,11月24日就向Apache官方报告了缝隙,并第一时间开端修正自家的相关受影响系统。


二.如何有用预防此类缝隙

软件的缝隙有时不可避免,依据Gartner的相关统计,到 2025 年,30% 的要害信息基础设施组织将遇到安全缝隙,这将会导致要害信息基础设施运营中止或要害型网络物理系统中止,而随着基础设施云化进程的加快,一款云原生观测与分析平台将至关重要。

日志服务SLS,可帮助快速部署一个预警机制,使得缝隙被利用时能够快速发现并及时响应。经过运用阿里云日志服务SLS,只需两步即可完成攻击检测:


1.将 Java 程序日志接入 SLS

首要需要将事务日志接入SLS(假如已经接入了的可跳过)。

SLS支持十分便捷的接入方法,这儿推荐运用文件收集Java程序的日志,具体接入办法包括:


  • 数据收集:日志服务支持收集服务器与应用、开源软件、物联网、移动端、规范协议、阿里云产品等多种来源的数据。


  • 运用极简模式收集日志:极简模式不对日志内容进行解析,每条日志都被作为一个整体被收集到日志服务中,极大简化了日志收集流程。


在日志接入后,就能够在SLS操控台装备要害词告警。


2.装备要害字监控

该缝隙被利用时会产生相应的日志,经过检测以下要害字,即可识别:

"jndi:ldap://" or "jndi:rmi" or "javax.naming.CommunicationException" or "javax.naming.NamingException: problem generating object using object factory" or "Error looking up JNDI resource"

然后点击查询/分析,(假如有攻击发生,会如下图):

再点击右上角的“另存为告警 -> 新版告警”:装备告警规则如下:

通知里能够装备语音、钉钉等渠道,如下图所示:

假如日志中有要害字出现,则会在发送语音和钉钉通知。

以上,便是构建预警机制的一个简易流程。最后,鉴于Log4j在全行业和政府运用的云服务器和企业软件中“无处不在”,因而将其更新到安稳版别2.15.0至关重要,一起也要加强监测手段,防范灾难性的缝隙。