Apache Log4j2是一個(gè)基于Java的日志記錄工具，是Log4j的升級(jí)，是目前最優(yōu)秀的Java日志框架之一。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，用來記錄日志信息。經(jīng)確認(rèn)Apache Log4j2 存在遠(yuǎn)程代碼執(zhí)行漏洞攻擊代碼。該漏洞利用無需特殊配置，入侵者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。經(jīng)多方驗(yàn)證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

【漏洞詳情】

12月9日，啟明星辰安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到網(wǎng)上披露Apache Log4j2 存在遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能，未經(jīng)身份驗(yàn)證的攻擊者通過發(fā)送特定惡意數(shù)據(jù)包，可在目標(biāo)服務(wù)器上執(zhí)行任意代碼。

【影響版本】

受影響的版本：ApacheLog4j 2.x <= 2.14.1

【修復(fù)建議】

1. 升級(jí)版本

目前官方已經(jīng)修復(fù)該漏洞，建議受影響產(chǎn)品盡快升級(jí)Apache Log4j2所有相關(guān)應(yīng)用到最新的log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

2. 臨時(shí)方案

▸建議JDK使用6u211、7u201、8u191、11.0.1及以上的版本;

▸添加jvm啟動(dòng)參數(shù):-Dlog4j2.formatMsgNoLookups=true;

▸添加log4j2.component.properties配置文件，增加如下內(nèi)容為：

log4j2.formatMsgNoLookups=true;

▸系統(tǒng)環(huán)境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設(shè)置為true;

▸禁止安裝log4j的服務(wù)器訪問外網(wǎng)，并在邊界對(duì)dnslog相關(guān)域名訪問進(jìn)行檢測(cè)。

▸凡檢測(cè)到包含“${jndi:ldap:”的關(guān)鍵字，直接阻斷訪問流量

▸使用如下官方臨時(shí)補(bǔ)丁進(jìn)行修復(fù)https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

▸在攻擊過程中可能使用 DNSLog 進(jìn)行漏洞探測(cè)，建議可以通過流量監(jiān)測(cè)設(shè)備監(jiān)控是否有相關(guān) DNSLog 域名的請(qǐng)求。

3. 人工排查

相關(guān)用戶可根據(jù)Java jar解壓后是否存在org/apache/logging/log4j相關(guān)路徑結(jié)構(gòu)，判斷是否使用了存在漏洞的組件，若存在相關(guān)Java程序包，則很可能存在該漏洞。

若程序使用Maven打包，查看項(xiàng)目的pom.xml文件中是否存在下圖所示的相關(guān)字段，若版本號(hào)為小于2.15.0，則存在該漏洞。

若程序使用gradle打包，可查看build.gradle編譯配置文件，若在dependencies部分存在org.apache.logging.log4j相關(guān)字段，且版本號(hào)為小于2.15.0，則存在該漏洞。

【啟明星辰檢測(cè)與防護(hù)類產(chǎn)品解決方案】

1. 天清入侵防御系統(tǒng)

天清入侵防御系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)和防護(hù)。

2. 天清Web應(yīng)用安全網(wǎng)關(guān)

天清Web應(yīng)用安全網(wǎng)關(guān)已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)和防護(hù)。

3. 天闐入侵檢測(cè)與管理系系統(tǒng)

天闐入侵檢測(cè)與管理系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)。

4. 天闐超融合檢測(cè)探針

天闐超融合檢測(cè)探針已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)。

5. 天闐威脅分析一體機(jī)

天闐威脅分析一體機(jī)已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)。

6. 天闐高級(jí)持續(xù)性威脅檢測(cè)與管理系統(tǒng)

天闐高級(jí)持續(xù)性威脅檢測(cè)與管理系統(tǒng)已經(jīng)發(fā)布緊急特征庫升級(jí)包，可在線升級(jí)或離線升級(jí)，即可對(duì)此攻擊進(jìn)行檢測(cè)。

啟明星辰集團(tuán)WAF、IPS、TAR、CSP、IDS、CS、APT產(chǎn)品特征庫官網(wǎng)更新完畢，網(wǎng)關(guān)和安管不受此漏洞影響。復(fù)制鏈接(https://venustech.download.venuscloud.cn/)，即可進(jìn)入統(tǒng)一升級(jí)中心，下載所需升級(jí)包。