UTM篇&IPS ❀ 02. 防范Log4j远程代码执行漏洞攻击 ❀ 飞塔 (Fortinet) 防火墙

Posted 2022-01-27 meigang2012

　　【简介】近期一个 Apache Log4j 远程代码执行漏洞细节被公开，攻击者利用漏洞可以远程执行代码。

---

 Log4j 远程代码执行漏洞

　　Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架，并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发，用来记录日志信息。大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉，由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。

　　漏洞利用无需特殊配置，经安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等均受影响。因该组件使用极为广泛，提醒 Apache Log4j2 用户尽快采取安全措施阻止漏洞攻击。

　　漏洞评级：严重

　　影响版本：

　　1、Apache Log4j 2.x <= 2.14.1
　　２、Minecraft 全版本所有系列服务端，除 Mohist 1.18 外

　　安全建议：

　　1、升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc1 版本，地址查看：点击此处。

　　2、升级已知受影响的应用及组件，如 srping-boot-strater-log4j2 / Apache Solr / Apache Flink / Apache Druid

 统一威胁管理 UTM

       Fortinet 统一威胁管理系统包括防火墙、VPN、入侵保护、防病毒、防恶意软件、防垃圾邮件、Web内容过滤等安全功能，可在一台单一设备中识别多种安全威胁。尤其FortiGate的应用控制功能可以让网络管理员轻松控制千种以上的应用，无论是监控还是流量控制都可以简单实现。除此之外，它还可以实现反间谍软件，漏洞扫描和WAN优化等功能，给用户以更多的选择。

       在中国，Fortinet 防火墙硬件设备和UTM通常是分开销售的。如果没有购买UTM，就不具备防病毒、入侵保护、Web过滤等功能。

  升级病毒库和IPS库

        针对最近爆发的Log4j远程代码执行漏洞攻击，Fortinet的安全团队立即做出了反应，只要将病毒库和IPS库升级到最新版本，就可以防范Log4j远程代码执行漏洞攻击。

 　　① 登录fortiguard.com网站，搜索Log4j，可以看到有关于Log4j远程代码执行漏洞的信息，并且可以看到IPS 19.218版本已经增加了签名。

　　② FortiGate防火墙需要购买了UTM（现在叫UTP）才具备入侵防御（IPS）功能，在服务期内，防火墙可以上网的情况下会自动升级。防火墙不能上网的情况下需要手动升级。这里IPS库就是自动升级到19.00218。

　　③ 在IPS特征库搜索Log4j，可以看到签名信息。

　　④ 需要在策略里启用IPS。在入侵防御日志中，可以看到Log4j远程代码执行漏洞攻击被阻止了的日志记录。

---