FOFA log4j 漏洞专题上线,从安服仔迈向专家只需一个按钮

路梦迪  156天前

Log4j2高危可利用漏洞爆发,FOFA上线漏洞专题、特定指纹收录,助力企业暴露面收敛,陪伴安服仔升级为安全专家。

2021年12月8日,可能会被载入安全历史史册的Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被攻击者利用,且该漏洞细节已经被公开扩散。该组件的使用范围之广是前所未有的,大部分JAVA开发的系统会采用Apache Log4j日志框架,因此在未来,这个漏洞可能会像新冠病毒一样持续感染,全球相关的业务系统也正在持续进行大范围的升级。

FOFA做为顶尖的网络空间测绘平台之一,针对该漏洞发布了组件专题,对目前已知的受影响组件进行了攻击面的梳理,并会在后续持续更新专题。

经FOFA技术专家与安全团队联合分析: 

由于Log4j2是底层组件,大部分系统在应用层面并不会暴漏出Log4j2的特征,因此没有办法像其他产品一样进行快速、准确的识别,目前的识别方式是通过获取受影响的产品清单分析和总结出来的,同时也给这个漏洞的修复增加了很大的难度。而这个清单在持续扩大,我们也将持续跟进。

因此FOFA基于白帽汇安全研究院发布的受影响产品列表,上线了Log4j2漏洞专题,发布了针对排查全网受影响资产的规则(app="Log4j2"),可直接查看受影响组件。


image.png

app="Log4j2"

截至发稿,全球目前仍然有417万+开放资产使用了Log4j组件。

https://fofa.so/static_pages/log4j2

image.png

累计影响18类产品,包含OA系统、财务系统、数据库、CMS、源代码管理、监控系统等核心业务分类。

使用场景

排查我司是否有风险资产?

方式1:

搜索已知 ip="a.a.a.a"

打开IP聚合页,查看组件 (示例数据)


image.png

方式2:

打开漏洞专题(https://fofa.so/static_pages/log4j2),查找是否有受影响组件。

方式3:

搜索已知 ip="a.a.a.a" && app="Log4j2"

如有结果,则代表疑似有风险。

排查我司研发的产品是否有被攻击的风险?

使用方式:

打开漏洞专题(https://fofa.so/static_pages/log4j2),查找是否有该产品。

复现该漏洞?

使用方式:

打开靶场(http://vulfocus.fofa.so/),可通过以下链接启动环境测试:vulfocus

也可通过 docker pull vulfocus/log4j2-rce-2021-12-09:latest 拉取本地环境运行,本地启动命令:

docker run -d -P vulfocus/log4j2-rce-2021-12-09:latest


image.png

找到内网是否有疑似风险资产?

 Goby红队专版可以全面发现所在网络是否有Log4j2漏洞,企业可拨打 010-80476580 咨询获得红队专版的方式,或可查看Goby推文(https://cn.gobies.org/statement.html),获取个人试用方案。


image.png

最新评论

马康  :  /usr/local/tomcat-8080/webapps/ROOT/WEB-INF/lib/log4j-over-slf4j-1.7.25.jar/usr/local/tomcat-8080/webapps/ROOT/WEB-INF/lib/log4j-to-slf4j-2.10.0.jar/usr/local/tomcat-8080/webapps/ROOT/WEB-INF/lib/log4j-api-2.10.0.jar请问,以上log4j相关包属于这个漏洞吗?需要升级吗?
150天前 回复
昵称
邮箱
提交评论