利用漏洞修复漏洞:青藤提供的「Log4j命令注入漏洞(CVE-2021-44228)」【免重启】在线热补丁服务现已上线!
应用介绍
利用漏洞修复漏洞:青藤提供的「Log4j命令注入漏洞(CVE-2021-44228)」【免重启】在线
史诗级的漏洞CVE-2021-44228爆发以来,各安全厂商提供了各种漏洞检测工具,也提供了各种漏洞修复方案。但是在修复过程中遇到无尽的坑,比如更新版本需要重启服务也不见得那么方便,改代码需要一定周期,临时修复方法错误(系统环境变量未生效),Log4j2.0-2.10版本无临时修复方案,jdk升级高版本存在bypass且仍然可以造成信息泄露等。
鉴于以上问题,青藤推出在线&离线临时修复方案,帮助大家迅速修复漏洞,度过“修改代码-测试-上线正式升级版本”这段时间差,避免发生实际损失。
Log4jPatch利用本次Log4j漏洞本身的任意代码执行能力,将Payload注入到目标Java进程中,通过反射调用,禁用了Log4j对jndi的支持,使得后续对该漏洞的利用无效,完成漏洞修复,总而言之,就是利用漏洞把漏洞补上。Log4jPatch
1.Log4j无法使用jndi,如果Log4j业务使用了jndi那么就会受到影响(这样的程序员就应该被安全工程师吊起来打)。2.由于注入到目标Java进程中的Payload极小(1.6KB),且变更逻辑简单,对于担心jvm内存的用户来说请放心。等您进行代码级别的修复之后,只需要重启服务patch就不会再驻留在内存中。
1.如何使用青藤的Log4jPatch在线修复人员在漏洞注入点(如用户名、搜索框、前端站点表单字段等等漏洞的触发点,不需要提供给青藤),把注入payload修改为:8443/patch}。
●./attach.sh不带pid将使用jps列出此机器上所有java进程,然后输入行号选择进程来进行注入修复,输入all将会注入所有列出的java进程。●可输入多个,空格分割。
2.3离线的修复验证:按照之前查找验证存在漏洞的方式进行测试,如:burpcollaborator进行验证,漏洞验证不成功则说明漏洞修复成功。
1.青藤完全不需要您提供业务的漏洞细节,这完全掌握您的手中,我们并不清楚也不需要具体的注入点;
A:只要不重启服务,该方式可以一直生效,一旦您重启了服务,需要再次对注入点打patch,直到代码级修复上线。
