Apache Log4j 1.2.X 反序列化远程代码执行漏洞

近日，白帽汇安全研究院发现网络上出现针对Apache Log4j应用的反序列化远程代码执行漏洞。在Log4j 1.2.X版本中包含一个SocketServer类，在侦听日志数据时，会对攻击者发送的恶意数据进行反序列化，造成远程代码执行。

概况

Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。 ——百度百科

Apache Log4j主要用于企业内部，较少暴露在公网上，很难对其全球分布有全面的认识。

漏洞原理

漏洞存在于org.apache.log4j.net.SocketServer类中，与CVE-2017-5645反序列化漏洞类似，攻击者只要想向4560端口发送恶意数据，组件变会将其反序列化成对象，执行所构造的payload。

漏洞影响

影响1.2到1.2.17版本的Apache Log4j。

CVE编号

CVE-2019-17571

修复建议

及时升级到最新版：https://logging.apache.org/log4j/2.x/download.html

参考

[1] https://nvd.nist.gov/vuln/detail/CVE-2019-17571

[2] https://mp.weixin.qq.com/s/okU2y0izfnKXXtXG3EfLkQ

[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17571

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。