Apache Log4j 漏洞事件說明與建議處置 (EDB、Cloudera、Docker、K8s、Greenplum、Tableau、Elastic、MongoDB、Pentaho)

Elastic 成功案例:空中巴士進階資料導航服務 近乎實時存取飛機技術文件的查詢功能
2021-12-17
Cloudera – Apache Log4j 漏洞官方建議處置
2021-12-21

【漏洞事件描述】

2021 年 12 月 9 日,Apache Log4j 被揭露有重大漏洞,編號 CVE-2021-44228。駭客可以利用該漏洞發動遠端程式碼執行攻擊,最嚴重可以接管整台系統,影響範圍擴及 Apache Log4j 2 中 logging library 的多個版本,包括微軟遊戲 Minecraft、蘋果 iCloud、遊戲平台 Steam、推特 (Twitter) 等大型服務及 ElasticSearch、Elastic Logstash、Redis 等都使用該元件,因此都面臨駭客攻擊的風險。資安專家稱為近 10 年來最嚴重漏洞,研究人員也發現已經有針對該漏洞的攻擊行動。

【關於漏洞 CVE-2021-44228】

本次漏洞編號「CVE-2021-44228」,又被稱為 Log4Shell,發生於開源日誌資料庫 Log4j。Apache Log4j 是在 java 框架中被大量使用的開源日誌記錄套件,廣泛的被企業各類應用程式部署和使用,因此本次漏洞影響範圍非常大。

該漏洞源自於 Log4j2 的 lookup 功能允許開發者透過協議讀取相應環境中的配置,但在執行過程中並沒有針對輸入進行嚴格的驗證,從而造成本次漏洞的發生。攻擊者可以透過該漏洞構建惡意請求(如修改過參數的 LOG 訊息),在目標伺服器上執行任意代碼以控制伺服器,進而進行各種攻擊行為如竄改頁面、竊取數據、勒索等,最嚴重可以接管整台系統。

【漏洞影響範圍及處理】

不受影響的版本: Apache log4j-2.15.0-rc2

CVE-2021-44228 漏洞影響範圍包括:

  • Java 類產品:Apache Log4j 2.x 2.15.0-rc2
  • 可能受影響應用及套件(包括但不限於):
    • Apache Solr
    • Apache Flink
    • Apache Druid
    • Apache Struts2
    • rping-boot-strater-log4j2
    • Elasticsearch
    • Flume
    • Dubbo
    • Redis
    • Logstash
    • Kafka

更多受影響應用請參考 MVNREPOSITORY: Artifacts using Apache Log4j Core

Apache 基金會建議使用者應立即升級到 Log4j v2.15.0。若使用 Log4j 2.10 以上版本而無法立即升級,應將系統屬性 log4j2.formatMsgNoLookups 參數由 ”false” 改為 ”true”。使用 2.10 以前版本者,則應從 classpath 移除 JndiLookup class,例如執行以下指令:

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

【EDB、Cloudera 、Docker、Greenplum、Tableau、Elsatic 、MongoDB、Pentaho 官方說明與建議處理方式】

我們整理 EDB、Cloudera 原廠 (其餘代理產品陸續更新中) 針對此次漏洞的建議處置與相關資源,不同產品的影響程度與處置相差極大,詳情請閱讀針對該產品的文章或聯絡我們以得到顧問諮詢和技術支援。

  • EDB
    EDB 原廠表示 EDB 產品僅 EFM 有使用到 log4J v2 因此遭到框列,資料庫 EPAS / PGSQL 和其餘週邊工具 JDBC driver、MTK、xDB、PEM 等都沒有受到本次漏洞影響。關於 EFM 的具體處置請參考 EDB 官方支援平台的相關文件 (請注意:本文件於12/12 發布,需有 EDB USER 權限方可觀看)。依據文件說明,EFM 的軟體設計也不會成為攻擊標的,因此原則上本漏洞不會立即對 EFM 造成立即影響。
  • Cloudera
    Cloudera 的資安團隊已確定此漏洞對 Cloudera 產品及套件的影響,此漏洞的影響不僅限於 Cloudera 產品,可能還會影響底層基礎架構軟體以及在 Cloudera 上運行的應用程式,建議立即採取建議的補救措施,並計劃升級到即將發布的軟體版本。Cloudera 的團隊已提供了受影響產品和版本的列表和建議的處置,詳細內容請看我們整理的 Cloudera – Apache Log4j 漏洞官方建議處置
  • Mirantis (Docker, K8s)
    Mirantis 已經確認大部分產品都沒有受到該漏洞的影響,少數有問題的部分嚴重程度也較低。想要評估工作負載軟體是否受到影響的用戶可以使用 Mirantis Secure Registry (MSR)。Mirantis 已更新 MSR 中的漏洞資料庫以掃描 Log4j 漏洞 CVE-2021-44228。詳細內容請看我們整理的 Mirantis (Docker) – 判斷是否受Log4j 漏洞影響及官方建議處置
  • Tanzu Greenplum
    漏洞 CVE-2021-44228 和 CVE-2021-45046 不會影響 Tanzu Greenplum (任何版本) 的核心功能,但會影響附加產品:Platform Extension Framework (PXF)、Tanzu Greenplum Text (GPText),若您使用的是 Tanzu Greenplum 並且沒有使用上述兩個組件,則不會受到影響。詳細內容請看我們整理的 Tanzu Greenplum – Apache Log4j 漏洞官方建議處置
  • Tableau
    2021 年 12 月 15 日的 Tableau 產品版本將 Log4j2 文件更新到版本 2.15。可能還有一些輔助組件需要進一步診斷,可以透過更改這些組件的設置以禁用易受攻擊的 JNDI lookup 功能來緩解。2021/12/19 的 Tableau 版本集成了 Log4j 2.16 ,該版本預設禁用 JNDI lookup,同時解決了 CVE-2021-44228 和 CVE-2021-45046 的問題。詳細內容請看我們整理的 Tableau – Apache Log4j 漏洞官方建議處置
  • Elastic
    Elastic Security 用戶可以使用事件關聯 (Event Correlation) 檢測規則來識別 Log4j2 漏洞,根據基於主機的事件的(the host based event)資料格式,您可能需要修改此檢測以符合資料欄位。詳細內容請看我們整理的 Elastic – Apache Log4j 漏洞官方建議處置
  • MongoDB
    MongoDB 被影響的產品如下圖:
    MongoDB_Log4shell
  • Pentaho
    當前支援的 Pentaho 版本中不存在此漏洞,因為預設情況下沒有使用易受攻擊的類別(Classes)。 針對 Pentaho 用例,該漏洞僅在以下情況下才會出現:  
    • 使用 Java 8u120 或更早的版本。  
    • 已將以下 java 系統屬性設置為 true 
    • 正在使用 JmsAppender

      在上述場景中,可以通過更改設置或自定義使用 JMSAppender 來啟用這些項目。 詳細內容請看我們整理的 Pentaho – Apache Log4j 漏洞官方建議處置

本文章為歐立威科技整理原廠官方文件與網路資源,並非即時更新,僅供使用者參考,使用者應自行審慎評估自身環境及官方最新建議以採取最佳行動,若需要任何技術支援歡迎聯絡我們。

參考資料: