Log4j漏洞

Posted 2022-01-03 微小的xx

公开日期：2021.12.09漏洞细节被公开
漏洞危害：高危、远程代码执行

漏洞分析

Apache Log4j 的远程代码执行漏洞细节被公开，该漏洞一旦被攻击者利用会造成严重危害。经过快速分析和确认，该漏洞影响范围极其广泛，危害极其严重，我们建议企业第一时间启动应急响应进行修复。此外，经过我们复现和验证，TDP 基于其自研的通用漏洞检测引擎，已于数月前支持对此次最新漏洞的检测，无需任何更新：

可能的受影响应用包括但不限于如下：

Spring-Boot-strater-log4j2
Apache Struts2
Apache Solr
Apache Flink
Apache Druid
ElasticSearch
flume
dubbo
Redis
logstash
kafka

检测及修复方案

1、紧急缓解措施：

（1） 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true

（2） 修改配置log4j2.formatMsgNoLookups=True

（3） 将系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true

2、检测方案：

（1）由于攻击者在攻击过程中可能使用 DNSLog 进行漏洞探测，建议企业可以通过流量监测设备监控是否有相关 DNSLog 域名的请求，微步在线的 OneDNS 也已经识别主流 DNSLog 域名并支持拦截。

（2）根据目前微步在线对于此类漏洞的研究积累，我们建议企业可以通过监测相关流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符来发现可能的攻击行为。

3、修复方案：

检查所有使用了 Log4j 组件的系统，官方修复链接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1