不要让谣言驱动应急响应
2022-8-4 09:54:24 Author: 黑白之道(查看原文) 阅读量:33 收藏

这两天网传Nginx和Log4j2的漏洞搞得风声鹤唳,我们觉得有必要说下自己的研判:

信息名称

Log4j2 远程代码执行漏洞

报告ID

QAXCERT-2022-086

可信度

公开时间

2022-07-30

更新时间

2022-07-31

研判结论

目前仅发现疑似Payload公开,以下为奇安信CERT的研判:

1、不影响默认安装的最新版本,除非手动启用JNDI
2、由于RMI的限制,JDK版本需要低于JDK 6u45 , JDK 7u21 , JDK 8u121

即便以上条件都满足,可能还需要其他特定配置条件,所以即使可用,也仅限于极少数手动配置不安全的场景。

现在已知最相关的漏洞还是CVE-2021-44228 Apache Log4j2任意代码执行漏洞,详情在下面。去年44228出现以后,随后还出了一波衍生的垃圾漏洞,log4j2早就被在显微镜下给扫描了一遍,因为最新版本的log4j2默认禁用了JNDI,影响漏洞威胁的最核心特性被禁,就很难指望再出什么手榴弹级别的漏洞。所以,对于上面的漏洞传言,我们的建议就是保证log4j2到最新版本,确认JNDI禁用状态。

信息相关漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

疑似公开

未确认

未确认

未确认

相关漏洞

Apache Log4j2任意代码执行漏洞(CVE-2021-44228)

公开时间

2021-12-23

更新时间

2022-07-31

CVE编号

CVE-2021-44228

其他编号

QVD-2021-35958

威胁类型

代码执行

技术类型

JNDI注入

厂商

Apache

产品

Log4j2

已知漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

已发现

漏洞描述

Apache Log4j2是Apache的一个开源项目,通过定义每一条日志信息的级别,能够更加细致地控制日志生成过程。

Apache Log4j2存在远程代码执行漏洞(CVE-2021-44228),该组件存在Java JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。

影响版本

Apache Log4j 2.0-beta9 - 2.12.1

Apache Log4j 2.13.0 - 2.14.1

修复缓解措施

1.添加jvm启动参数   -Dlog4j2.formatMsgNoLookups=true  
2.在应用程序的classpath下添加log4j2.component.properties配置文件文件,文件内容:log4j2.formatMsgNoLookups=True
3. 移除log4j-core包中JndiLookup 类文件,并重启服务
具体命令:zip -q -d   log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
4. 建议JDK使用11.0.1、8u191、7u201、6u211及以上的高版本
5. 限制受影响应用对外访问互联网
6.禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true
7.采用其他防护措施,更新WAF、RASP规则等

修复解决方案(含漏洞补丁)

从Apache Log4j 2.16.0及Apache Log4j 2.12.2版本起,默认禁用JNDI功能,若需使用JNDI查找,需显式的在配置中启用。从Apache Log4j版本 2.17.0(Java 8)、2.12.3(Java 7)和 2.3.1(Java 6)起,已移除 JNDI 查找功能,且禁用 LDAP 协议,仅支持 Java 协议。建议尽快升级至安全版本:

https://logging.apache.org/log4j/2.x/download.html

信息名称

Nginx <= 1.21.5堆栈溢出导致远程命令执行漏洞

报告ID

QAXCERT-2022-084

可信度

公开时间

2022-07-30

更新时间

2022-07-31

研判结论

未监测到符合声称描述的漏洞,能关联到的为4月披露的NGINX LDAP参考实现远程代码执行漏洞。

在信息不足的情况下行动,判断事情本身发生的概率直接影响采取措施的强度。Nginx是使用量巨大的软件,黑客们做梦都想发现相关的好用漏洞,多少双眼睛盯着呢,默认配置下的内存破坏类好用漏洞出现的可能性极低,真有这样的漏洞利用,大概率已经会看到大量活动,不会一直都只听人声不见人影的情况。

信息相关漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

未确认

未确认

未确认

未确认

相关漏洞

NGINX LDAP参考实现远程代码执行漏洞

公开时间

2022-04-09

更新时间

2022-07-31

CVE编号

暂无

其他编号

暂无

威胁类型

代码执行

技术类型

业务逻辑问题

厂商

Nginx

产品

nginx-ldap-auth

已知漏洞状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

NGINX LDAP 参考实现使用轻量级目录访问协议 (LDAP) 来验证由 NGINX 代理的应用程序的用户。NGINX LDAP参考实现中存在远程代码执行漏洞,攻击者可通过向目标服务器发送特制请求来利用此漏洞,从而在目标系统上执行任意代码。注意,NGINX Open Source 和 NGINX Plus 本身不受此漏洞影响。

NGINX 官方指出了利用漏洞需要满足的条件,如果满足以下任何条件,LDAP 参考实现的部署会受到漏洞的影响:

1. 允许使用命令行参数配置 Python 守护进程
2. 存在未使用的可选配置参数
3. LDAP身份验证取决于特定组成员身份

影响版本

配置了NGINX LDAP 参考实现的以下版本:Nginx<=1.18

修复缓解措施

缓解条件1:命令行参数用于配置 Python 守护程序

请将以下配置添加到NGINX 配置(repo中的nginx-ldap-auth.conf)中的location = /auth-proxy块中:

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}  

缓解条件2:未使用的可选配置参数

将以下配置添加到NGINX 配置中的location = /auth-proxy块中:

location = /auth-proxy {    # ...    proxy_pass_request_headers off;    proxy_set_header Authorization $http_authorization; # If using Basic auth    # ...}  

缓解条件3:需要 LDAP 组成员身份

请确保显示登录表单的后端守护程序从用户名字段中删除任何特殊字符。必须删除左括号和右括号字符以及等号,它们对于 LDAP 服务器都有特殊含义。LDAP 参考实现中的后端守护程序将在适当的时候以这种方式进行更新。

修复解决方案(含漏补丁)

请尽快升级至安全版本

文章来源:奇安信 CERT

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!

如侵权请私聊我们删文

END

多一个点在看多一条小鱼干


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjE3ODU3MQ==&mid=2650547123&idx=2&sn=8676725f929208344c2fc8136d8748a9&chksm=83bd4657b4cacf418108ce00ce2a88e88e0c2fe528358360420470c82830ad92c492f8bd4043#rd
如有侵权请联系:admin#unsafe.sh