針對近日爆出的Apache Log4j2遠程代碼執(zhí)行漏洞��,盛邦安全安全服務(wù)團隊持續(xù)跟蹤其進展情況����,本篇內(nèi)容主要聚焦在全球使用Log4j2的組件和框架數(shù)據(jù)分析并附帶snort格式的檢測防御規(guī)則�����,供大家參考����。
盛邦安全對Apache Log4j2的組件和框架分析���,影響面初步評估結(jié)果如下:
1�����、全球使用log4j2的組件有6910個,前500個組件覆蓋了92485個框架����;
2、使用log4j2的組件被框架調(diào)用超過1000個有19個�����,總體數(shù)量為數(shù)量41503個���;
3���、超過1000個框架調(diào)用的log4j版本為2.12.1��、2.14.1�����、2.14.0����、2.13.3�、2.11.1、2.11.0��、2.8.2 (以上均為存在漏洞版本)�,其中log4j 2.12.1版本使用最多 ,有1,458組件調(diào)用���;
4���、公開使用2.15.0的只有114個(已知2.15.0-rc2目前為唯一安全版本);
5��、使用log4j2前500的組件有112個未在2021年進行更新��,也就是說有112個組件面臨沒有補丁可用的局面。前20只有一個未在2021年進行更新�����,最近一次更新時間為2020年7月15日���;
6����、最近一次使用log4j2的組件為JUnitJupiter Engine時間為2021年11月28日���。
7. 對6910個組件的許可證進行分析���,涉及到20種許可證���,其中Apache許可證的組件占比65%���,MIT許可證的組件占比5%。
通過Snort捕獲攻擊數(shù)據(jù)目前使用的主要規(guī)則如下��,其通過 http rmi����、http ldap����、tcp ladp���、tcp rmi����、udprmi�����、udp ldap�����、udp dns�、tcp dns、http dns����、udpldaps、tcp ldaps���、http ldaps等過濾攻擊語法��,具體規(guī)則可通過下方鏈接獲?����。篽ttps://github.com/webraybtl/log4j-snort
盛邦安全技術(shù)團隊將繼續(xù)跟蹤Apache Log4j2遠程代碼執(zhí)行漏洞進展情況���,請關(guān)注我們的公眾號消息��,也歡迎大家與我們溝通交流�����。
