Apache Log4j2是一個基于Java的日志記錄工具，是Log4j的升級，是目前最優(yōu)秀的Java日志框架之一。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。經(jīng)確認Apache Log4j2 存在遠程代碼執(zhí)行漏洞攻擊代碼。該漏洞利用無需特殊配置，入侵者可直接構(gòu)造惡意請求，觸發(fā)遠程代碼執(zhí)行漏洞。經(jīng)多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

【漏洞詳情】

12月9日，啟明星辰安全應(yīng)急響應(yīng)中心監(jiān)測到網(wǎng)上披露Apache Log4j2 存在遠程代碼執(zhí)行漏洞，該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能，未經(jīng)身份驗證的攻擊者通過發(fā)送特定惡意數(shù)據(jù)包，可在目標服務(wù)器上執(zhí)行任意代碼。

【影響版本】

受影響的版本：ApacheLog4j 2.x <= 2.14.1

【修復(fù)建議】

1. 升級版本

目前官方已經(jīng)修復(fù)該漏洞，建議受影響產(chǎn)品盡快升級Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

2. 臨時方案

▸建議JDK使用6u211、7u201、8u191、11.0.1及以上的版本;

▸添加jvm啟動參數(shù):-Dlog4j2.formatMsgNoLookups=true;

▸添加log4j2.component.properties配置文件，增加如下內(nèi)容為：

log4j2.formatMsgNoLookups=true;

▸系統(tǒng)環(huán)境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設(shè)置為true;

▸禁止安裝log4j的服務(wù)器訪問外網(wǎng)，并在邊界對dnslog相關(guān)域名訪問進行檢測。

▸凡檢測到包含“${jndi:ldap:”的關(guān)鍵字，直接阻斷訪問流量

▸使用如下官方臨時補丁進行修復(fù)https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

▸在攻擊過程中可能使用 DNSLog 進行漏洞探測，建議可以通過流量監(jiān)測設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請求。

3. 人工排查

相關(guān)用戶可根據(jù)Java jar解壓后是否存在org/apache/logging/log4j相關(guān)路徑結(jié)構(gòu)，判斷是否使用了存在漏洞的組件，若存在相關(guān)Java程序包，則很可能存在該漏洞。

若程序使用Maven打包，查看項目的pom.xml文件中是否存在下圖所示的相關(guān)字段，若版本號為小于2.15.0，則存在該漏洞。

若程序使用gradle打包，可查看build.gradle編譯配置文件，若在dependencies部分存在org.apache.logging.log4j相關(guān)字段，且版本號為小于2.15.0，則存在該漏洞。

【啟明星辰檢測與防護類產(chǎn)品解決方案】

1. 天清入侵防御系統(tǒng)

天清入侵防御系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測和防護。

2. 天清Web應(yīng)用安全網(wǎng)關(guān)

天清Web應(yīng)用安全網(wǎng)關(guān)已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測和防護。

3. 天闐入侵檢測與管理系系統(tǒng)

天闐入侵檢測與管理系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

4. 天闐超融合檢測探針

天闐超融合檢測探針已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

5. 天闐威脅分析一體機

天闐威脅分析一體機已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

6. 天闐高級持續(xù)性威脅檢測與管理系統(tǒng)

天闐高級持續(xù)性威脅檢測與管理系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

啟明星辰集團WAF、IPS、TAR、CSP、IDS、CS、APT產(chǎn)品特征庫官網(wǎng)更新完畢，網(wǎng)關(guān)和安管不受此漏洞影響。復(fù)制鏈接(https://venustech.download.venuscloud.cn/)，即可進入統(tǒng)一升級中心，下載所需升級包。