Log4j2高危可利用漏洞爆发，FOFA上线漏洞专题、特定指纹收录，助力企业暴露面收敛，陪伴安服仔升级为安全专家。

2021年12月8日，可能会被载入安全历史史册的Apache Log4j2远程代码执行高危漏洞（CVE-2021-44228）被攻击者利用，且该漏洞细节已经被公开扩散。该组件的使用范围之广是前所未有的，大部分JAVA开发的系统会采用Apache Log4j日志框架，因此在未来，这个漏洞可能会像新冠病毒一样持续感染，全球相关的业务系统也正在持续进行大范围的升级。

FOFA做为顶尖的网络空间测绘平台之一，针对该漏洞发布了组件专题，对目前已知的受影响组件进行了攻击面的梳理，并会在后续持续更新专题。

经FOFA技术专家与安全团队联合分析： 

由于Log4j2是底层组件，大部分系统在应用层面并不会暴漏出Log4j2的特征，因此没有办法像其他产品一样进行快速、准确的识别，目前的识别方式是通过获取受影响的产品清单分析和总结出来的，同时也给这个漏洞的修复增加了很大的难度。而这个清单在持续扩大，我们也将持续跟进。

因此FOFA基于白帽汇安全研究院发布的受影响产品列表，上线了Log4j2漏洞专题，发布了针对排查全网受影响资产的规则（app="Log4j2"），可直接查看受影响组件。

app="Log4j2"

截至发稿，全球目前仍然有417万+开放资产使用了Log4j组件。

https://fofa.so/static_pages/log4j2

累计影响18类产品，包含OA系统、财务系统、数据库、CMS、源代码管理、监控系统等核心业务分类。

使用场景

排查我司是否有风险资产？

方式1:

搜索已知 ip="a.a.a.a"

打开IP聚合页，查看组件 （示例数据）

方式2:

打开漏洞专题（https://fofa.so/static_pages/log4j2），查找是否有受影响组件。

方式3:

搜索已知 ip="a.a.a.a" && app="Log4j2"

如有结果，则代表疑似有风险。

排查我司研发的产品是否有被攻击的风险？

使用方式：

打开漏洞专题（https://fofa.so/static_pages/log4j2），查找是否有该产品。

复现该漏洞？

使用方式：

打开靶场（http://vulfocus.fofa.so/），可通过以下链接启动环境测试：vulfocus

也可通过 docker pull vulfocus/log4j2-rce-2021-12-09:latest 拉取本地环境运行，本地启动命令：

docker run -d -P vulfocus/log4j2-rce-2021-12-09:latest

找到内网是否有疑似风险资产？

 Goby红队专版可以全面发现所在网络是否有Log4j2漏洞，企业可拨打 010-80476580 咨询获得红队专版的方式，或可查看Goby推文（https://cn.gobies.org/statement.html），获取个人试用方案。