无需落地第三方文件!360免费上线Log4j2漏洞最强检测工具及防护全攻略
2021-12-11
自Apache Log4j2漏洞亮相,其“核级”威力引发广泛政企用户关注。
与此同时,360政企安全集团安服高级攻防团队连夜与漏洞开展“狙击战”,上线针对Apache Log4j漏洞检测的最强解决方案矩阵:浏览器被动式扫描+本地检测工具,免费为用户提供Log4j2漏洞全方位检测方案及补丁方案。
【用户可通过此链接获取检测工具包https://yunpan.360.cn/surl_ykykpBsDYeH 提取码:eae1】
不同于当前其他安全企业推出的检测工具,360政企安全集团所上线的浏览器被动式扫描作为Log4j2检测的“杀手锏”,无需落地任何第三方文件,用户只需通过任意服务器导入证书,用浏览器访问业务页面即可快速检测Log4j2漏洞,不会对用户环境造成任何侵入式影响;而本地检测工具作为常规检测方法,可以扫描指定的jar包、工程目录、linux生产环境,因此该检测工具适用于用户可以直接操作服务器,无敏感业务、不怕宕机的情况。
此外,针对Log4j2漏洞,360政企安全集团不仅提供快速修复漏洞的补丁,同时上线包含360本地安全大脑、360高级持续性威胁预警系统、360资产管理与威胁探测系统(天相)、360云探安全监测系统、360磐云安全防护系统在内的集合检测、防御、修复“一站式”整体安全解决方案,用户可以根据自身情况安装使用,全面消除安全隐患。
浏览器被动式扫描检测方案
原理
工程师可设置该代理通过浏览器被动扫描目标,查看 DNS Log 检测是否存在 log4j 漏洞。
使用方法
1.浏览器或操作系统配置 HTTP/HTTPS 代理:219.141.219.69:18080
2.浏览器或操作系统将下列证书添加到信任名单:附件sqli-hunter.pem
3.使用浏览器正常进行目标浏览,当结束扫描后,在http://219.141.219.69:18000/ 下检查是否存在以目标域名为名的 txt 文件,如 http://219.141.219.69/360.cn.txt
4.若存在,则说明目标网站存在漏洞,细节如下:
可看到完整 HTTP 请求细节,params参数为存在 log4j 注入漏洞的参数
使用限制
a. 主机外网 IP 无法访问 360 IP,请不要使用该代理扫描 360
b. 目前只能检测 POST body 中的参数
b. 不允许任何恶意攻击
本地扫描常规检测方案
1. 下载本地检测工具
2. 扫描源码:./log4j-discoverer --src"源码目录"
3. 扫描jar包:./log4j-discoverer--jar "jar包文件"
4. 扫描系统进程:./log4j-discoverer –scan
Log4j漏洞补丁方案
如果检测到相关漏洞的应用或组件,建议立即对该应用或组件进行打补丁修复, Log4j补丁方案如下:
工具原理
Hook前受到log4j jndi注入攻击
执行 java -jar PatchLog4j.jar
打入补丁后 log4j不再处理JNDI逻辑直接将JNDI字符串输出
其他修复及建议
1. 尽快通过参考链接中官网地址升级到最新版本:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 配置网络防火墙,禁止系统主动外连网络,包含不限于DNS、TCP/IP、ICMP。
3. 升级已知受影响的应用及组件,如srping-boot-strater-log4j2、ApacheSolr、Apache Flink、Apache Druid。
4. 排查日志集中管理服务器,以及基于java开发的商业软件,以及其他可能存在隐患的基础环境。
5. 同时建议您使用360相关安全产品及服务,为您保驾护航。
366政企产品侧解决方案
360本地安全大脑
360本地安全大脑针对该漏洞威胁,第一时间发布安全更新,可实现针对该漏洞的主动检测,助力全面拦截利用该漏洞发起的攻击,请广大用户及时更新检测规则。360本地安全大脑是360基于云计算、大数据、人工智能等新一代信息技术,将云端安全大脑核心能力本地化部署的一套统一安全平台。基于这个平台通过模块化组合开发了一系列场景化解决方案。针对高危漏洞的攻击,运营人员可根据安全告警,结合产品能力实现对攻击行为的分析、溯源、处置。
360高级持续性威胁预警系统(360NDR)
用户可在360NDR的”统一告警”页面和”流量攻击/远程漏洞攻击”页面,查看是否有黑客利用该漏洞的进行攻击,如有,建议手动或者联动防火墙对攻击IP进行阻断。360NDR产品更新方式:如果用户可连互联网,点击在线更新即可;如果用户为内网环境,不能连互联网,请联系360安全服务团队,进行离线升级。
360NDR,全称360高级持续性威胁预警系统,是一款专门应对高级网络威胁的新一代智能安全产品,系统旁路部署网络出口,对网络流量进行深度分析,检测零日漏洞(0DAY)、高级木马、远程控制和渗透行为等网络攻击和失陷资产,并存储原始攻击PCAP包和文件,提供可视化溯源分析和防火墙联动,帮助用户快速构建威胁检测、分析、溯源到响应处置闭环流程。
360资产管理与威胁探测系统(天相)
360资产管理与威胁探测系统(360天相)第一时间发布了POC插件,能够主动检测该高危漏洞风险,保护不同领域客户的数据和财产安全。已经部署360天相的客户可以通过在线更新的方式自动化更新POC插件,未部署的客户可联系360安全服务团队,在安装部署最新版360天相后,通过前往情报-漏洞情报处一键下发POC检测任务,新客户建议先发起资产测绘任务,再发起POC检测任务。在360安全大脑的赋能下,360天相通过基于web引擎和POC检测相结合的方式,采用爬虫测绘能力,能够进一步发现web站点的实际访问路径,从而发现更深层级的漏洞路径。同时,基于深层级URL进行的POC检测,可助力360天相提供到较常规POC检测更全面的检测能力。
360云探安全监测系统
360云探安全监测系统是一款面向党政军、金融、教育和互联网用户的综合型SaaS化网站应用安全监测服务产品,可有效监测网站的异常,发现企业网站的安全问题,目前已可以针对此漏洞进行安全监测。
360磐云安全防护系统
360磐云安全防护系统是集合网站配置、防护、加速、管理于一体的基于SaaS化安全防护产品,旨在解决用户网站安全问题,目前已可以针对此漏洞进行安全防护。
360安全服务
360云端安全专家提供7*24小时持续的安全保障服务,在漏洞爆发之初,云端安全专家即对用户的网络环境进行漏洞扫描,保障第一时间检查用户是否存在此漏洞,针对存在漏洞的用户,检查并更新防护设备策略,确保用户防护设备可以防护此漏洞风险。同时360政企安全集团安服高级攻防实验室作为当之无愧的攻防领域尖刀,也将配合云端及区域安服技术专家,持续为政企客户持续输出一手安全解决方案。
联系方式:
电话:400-0309-360
邮箱:anfu-b@360.cn或联系360政企当地安服技术团队,如果情况严重,360将派驻安全专家上门修复。
获取更多情报:
建议您订阅360漏洞云-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
电话:010-52447660
邮箱:loudongyun@360.cn
网址:https://loudongyun.360.cn