近日,華為雲安全團隊關注到Apache Log4j2 的遠程代碼執行最新漏洞。Apache Log4j2是一款業界廣泛使用的基於Java的日志工具,該組件使用范圍廣泛,利用門檻低,漏洞危害極大。華為雲安全在第一時間檢測到漏洞狀況並在官網發布相關公告,在此提醒使用Apache Log4j2的用戶盡快安排自檢並做好安全防護。
公告詳情:https://www.huaweicloud.com/notice/2021/20211210001621800.html
Apache Log4j2是一款業界廣泛使用的基於Java的日志記錄工具。此次曝出的漏洞,利用門檻低,漏洞危害極大,威脅級別定義為嚴重級。此漏洞存在於Apache Log4j 2.x到 2.15.0-rc1多個版本,已知受影響的應用及組件包括spring-boot-starter-log4j2 / Apache Solr / Apache Flink / Apache Druid等。
華為雲安全在第一時間提供了對該漏洞的防護。僅僅過去數小時,華為雲WAF就在現網中攔截了Apache Log4j2 遠程代碼執行漏洞的大量變形攻擊,通過分析發現攻擊者正在不斷嘗試新的攻擊方法,當前已識別到10+種試圖取得服務器控制權的變形攻擊。鑒於此漏洞威脅級別高,而且出現大量變形攻擊,因此華為雲安全團隊提醒客戶及時采取處置措施和開啟防護服務。
一、漏洞處置:
- 盡快升級至Apache log4j-2.15.0-rc2官方正式版,Apache官方已發布補丁,下載地址:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
- 對於無法短時間升級新版本的情況,建議采取如下措施來緩解:
- (優先) 添加以下JVM啟動參數來禁止解析JDNI,重啟服務,jvm參數 -Dlog4j2.formatMsgNoLookups=true
- log4j2.ini 配置中設置log4j2.formatMsgNoLookups=True 禁止解析JDNI
- 系統環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true
- 確保使用高版本JDK,如JDK8u191默認限制遠程加載惡意類(只能增加漏洞利用難度,不能杜絕)
- 禁止沒有必要的業務訪問外網
二、開啟防護服務,主動檢測和動態防護
華為雲安全持續監測此漏洞及其變種攻擊,建議開啟相關安全防護服務,主動掃描防護利用此漏洞進行的惡意攻擊
1、開啟華為雲WAF的基礎防護功能(購買WAF標准版、專業版或鉑金版),檢測和攔截各種變形攻擊。
產品頁:https://www.huaweicloud.com/product/waf.html
在華為雲WAF控制台,防護策略->Web基礎防護,開啟狀態,設置攔截模式,開啟華為雲WAF的Web基礎防護功能。
2、開啟華為雲CFW的基礎防御功能(基礎版),檢測和攔截各種變形攻擊。
產品頁:https://www.huaweicloud.com/product/cfw.html
在華為雲CFW控制台,入侵防御->防御策略設置頁面,打開基礎防御功能開關,並啟動攔截模式。
3、華為雲漏洞掃描服務VSS第一時間提供了對該漏洞的檢測能力。開啟華為雲VSS的漏洞掃描功能(免費開通基礎版,或購買專業版、高級版、企業版),檢測網站及主機資產是否存在該漏洞,主動識別安全風險。
產品頁:https://www.huaweicloud.com/product/vss.html
在華為雲VSS控制台,資產列表->網站->新增域名,資產列表->主機->添加主機,啟動掃描,等待任務結束,查看掃描報告。
