【】二次通告--Apache log4j-2.15.0-rc1版本存在繞過風險，請廣大用戶盡快更新版本

【轉載自360眾測】

        Apache Log4j2是一個基於Java的日志記錄工具。該工具重寫了Log4j框架，並且引入了大量豐富的特性。我們可以控制日志信息輸送的目的地為控制台、文件、GUI組件等，通過定義每一條日志信息的級別，能夠更加細致地控制日志的生成過程。該日志框架被大量用於業務系統開發，用來記錄日志信息。

        2021年12月09日，360漏洞雲監測到Apache 官方於2021年12月07日發布了log4j-2.15.0-rc1版本。經360漏洞雲安全專家研判，該版本存在繞過風險，具有安全隱患。廠商已發布最新版本log4j-2.15.0-rc2，請廣大用戶盡快更新。漏洞編號：暫無，漏洞威脅等級：嚴重，漏洞評分：9.8。

       該組件在開啟了日志記錄功能后，凡是在可觸發錯誤記錄日志的地方，插入漏洞利用代碼，即可利用成功。特別的，若該組件記錄的日志會包含其他系統的記錄日志，則有可能造成間接投毒。通過中間系統，使得組件間接讀取了具有攻擊性的漏洞利用代碼，亦可間接造成漏洞觸發。漏洞利用整個過程操作簡單，漏洞危害極其嚴重。

        經360漏洞雲安全專家研判，log4j2是全球使用廣泛的java日志框架，同時該漏洞還影響很多全球使用量的Top序列的通用開源組件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。該漏洞利用方式簡單，危害嚴重，官方已經發布該產品的最新版本，建議用戶盡快升級組件，修復緩解該漏洞。

漏洞利用條件分析 

用戶認證：不需要用戶認證

觸發方式：遠程

配置方式：默認

特殊利用條件：需要外網交互

影響面分析

通過Google搜索引擎對依賴該組件的產品、其他開源組件分析，發現有310個產品、開源組件依賴了Apache Log4j2 2.14.1的版本。

綜合評價 

利用難度：低，無需授權即可遠程代碼執行

威脅等級：嚴重，能造成遠程代碼執行

根據網絡空間測繪系統Quake探測的全網使用Java語言編寫的產品部署量如下圖所示：

從使用量全球Top5的統計表中可以看出，Java開發語言的使用量第一名是美國，第二名是中國，且中美的使用量幾乎持平。

在國內Java開發的組件的部署量重點地區是北京市、廣東省、浙江省、上海市以及香港特別行政區。

        綜上，根據 Log4j2的本身的使用量影響量，再根據Java語言開發的產品組件的全球分布和國內分布，可大致推算出本次Log4j2漏洞在全球影響最大的地區是中國和美國，在國內需要着重關注的地區是 北京、上海、廣東、浙江、香港。

       由於此次漏洞組件屬於Java產品的基礎組件，漏洞影響面覆蓋全行業。凡是使用了Java作為開發語言研發產品的企業，或者使用了Java語言開發的產品的企業，企業內部均需要自查自身的安全隱患。

 

 嚴重（9.8）

Apache Log4j 2.x <= 2.15.0-rc1

 

2021年12月10日，360漏洞雲安全專家已第一時間復現上述漏洞，演示如下

 

完整POC代碼已在360漏洞雲情報平台（https://loudongyun.360.cn/）發布，360漏洞雲情報平台用戶可通過平台下載進行安全自檢。

1. 盡快通過參考鏈接中官網地址升級到最新版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2. 配置網絡防火牆，禁止系統主動外連網絡，包含不限於DNS、TCP/IP、ICMP。

3. 升級已知受影響的應用及組件，如srping-boot-strater-log4j2、ApacheSolr、Apache Flink、Apache Druid。

4. 排查日志集中管理服務器，以及基於java開發的商業軟件，以及其他可能存在隱患的基礎環境。

5.緊急加固緩解措施：

① 設置參數：

log4j2.formatMsgNoLookups=True

② 修改JVM參數：

-Dlog4j2.formatMsgNoLookups=true

③ 系統環境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true

④ 禁止 log4j2 所在服務器外連

6. 同時建議您使用360相關安全產品及服務，為您保駕護航。

 

2021-12-9 -  360漏洞雲監測到該漏洞並發布安全動態。

2021-12-9 -  360漏洞雲成功復現該漏洞。

2021-12-10 - 360漏洞雲發布第一次安全公告。

2021-12-10 - 360漏洞雲發布第二次安全公告。

 

三六零雲探安全監測系統，是一款面向黨政軍、金融、教育和互聯網用戶的綜合型SaaS化網站應用安全監測服務產品，可有效監測網站的異常，發現企業網站的安全問題，目前已可以針對此漏洞進行安全監測。

三六零磐雲安全防護系統，是集合網站配置、防護、加速、管理於一體的基於SaaS化安全防護產品，旨在解決用戶網站安全問題，目前已可以針對此漏洞進行安全防護。

360AISA全流量威脅分析系統，是基於360海量安全大數據及豐富的攻防實戰經驗，利用AI、機器學習等技術研發的新一代威脅感知產品，能夠精准發現攻擊入侵行為、高級威脅活動，目前已可以針對此漏洞進行安全防護。

360本地安全大腦，是將360雲端安全大腦核心能力本地化部署的一套開放式全場景安全運營平台，實現安全態勢、監控、分析、溯源、研判、響應、管理的智能化安全運營賦能。360本地安全大腦目前已可以針對此漏洞進行安全防護。

360天相已經發布了Apache log4j漏洞POC檢測插件，已部署天相的客戶可以通過在線更新的方式自動化更新poc插件。

【摘自360眾測】