近日，海峽信息安全威脅情報(bào)中心監(jiān)測(cè)到Apache Log4j2被曝存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞利用成功將導(dǎo)致用戶(hù)應(yīng)用系統(tǒng)及服務(wù)器系統(tǒng)被控制。

一、漏洞描述

Apache Log4j2是一個(gè)基于Java的日志記錄工具，是Log4j的升級(jí)，在其前身Log4j 1.x基礎(chǔ)上提供了Logback中可用的很多優(yōu)化，同時(shí)修復(fù)了Logback架構(gòu)中的一些問(wèn)題，是目前最優(yōu)秀的Java日志框架之一。該日志框架被大量用于業(yè)務(wù)系統(tǒng)開(kāi)發(fā)，用來(lái)記錄日志信息。開(kāi)發(fā)者可能會(huì)將用戶(hù)輸入造成的錯(cuò)誤信息寫(xiě)入日志中。

由于Apache Log4j 2某些功能存在遞歸解析功能，攻擊者可直接構(gòu)造惡意請(qǐng)求，觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞。觸發(fā)條件為只要外部用戶(hù)輸入的數(shù)據(jù)會(huì)被日志記錄，即可造成遠(yuǎn)程代碼執(zhí)行。

二、影響范圍

Apache Log4j 2.x <= 2.14.1

三、安全防范建議

海峽信息提醒各相關(guān)單位和用戶(hù)要強(qiáng)化風(fēng)險(xiǎn)意識(shí)，切實(shí)加強(qiáng)安全防范：

1、目前海峽態(tài)勢(shì)感知、防火墻、IPS等安全設(shè)備規(guī)則已支持該漏洞攻擊及相關(guān)漏洞的檢測(cè)，請(qǐng)相關(guān)用戶(hù)及時(shí)升級(jí)設(shè)備安全規(guī)則，相關(guān)特征庫(kù)已發(fā)布到官網(wǎng)http://www.vpnv.cn/Technical/upgrade.html

2、建議排查Java應(yīng)用是否引入log4j-api , log4j-core 兩個(gè)jar，若存在使用，極大可能會(huì)受到影響，如圖：

1、升級(jí)官方補(bǔ)丁（若有更新版本建議升級(jí)到最新），見(jiàn)
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、臨時(shí)解決方案
設(shè)置jvm參數(shù) “-Dlog4j2.formatMsgNoLookups=true”，
設(shè)置“l(fā)og4j2.formatMsgNoLookups=True”，
將系統(tǒng)環(huán)境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設(shè)置為“true”，
關(guān)閉相關(guān)應(yīng)用的網(wǎng)絡(luò)外連，禁止主動(dòng)外連。