Apache Log4j2远程代码执行漏洞

漏洞分析

组件介绍

Apache Log4j2 是一款Java日志框架，是Log4j 的升级版。可以控制每一条日志的输出格式。通过定义每一条日志信息的级别，能够更加细致地控制日志的生成过程。由于其易用性被广泛集成于各种服务器和组件中。

漏洞描述

2021年12月9日，深信服安全团队监测到一则Apache Log4j2 组件存在远程代码执行漏洞的信息，并成功复现该漏洞。漏洞编号：CNVD-2021-95914。漏洞威胁等级：严重。

该漏洞是由于 Apache Log4j2 某些功能存在递归解析功能，攻击者可利用该漏洞在未授权的情况下，构造恶意数据进行远程代码执行攻击，最终获取服务器最高权限。

2021年12月10日，Apache Log4j2 官方针对此漏洞发布的2.15.0-rc1版本存在绕过，官方再次发布 2.15.0-rc2版本以解决绕过问题。

影响范围

Apache Log4j2广泛地应用在中间件、开发框架、web应用中。漏洞危害性高，涉及用户量较大，导致漏洞影响力巨大。

目前受影响的Apache Log4j2版本：

2.0.0 ≤ Apache Log4j ≤ 2.15.0-rc1

解决方案

如何检测组件系统版本

方案一

全盘搜索 log4j，如果存在 log4j-core-{version}.jar

则用户可能受漏洞影响

方案二

如果项目是由 maven 编译的（一般在项目根目录下会有pom.xml）

打开 pom.xml 文件，如图：

在此文件中搜索 log4j-core，如果可以搜索到关键字，并且标签内部的字段在 2.0.0版本及以上并且小于2.15.0-rc2，则可能受到漏洞的影响。（图中的 log4j-core的版本是 2.14.1，在漏洞影响范围内）

如以上检索均未发现结果，不能够完全下结论一定没有使用log4j组件。如果服务器有使用以下中间件的（log4j 组件通常会嵌套在以下中间件中使用），仍要联系业务系统的开发或维护厂商进行判断是否有使用log4j 组件。

Apache Log4j2 远程代码执行漏洞可能的受影响中间件包括但不限于如下：

Spring Boot Starter Log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Apache Flume

Dubbo

Redis

Logstash

Apache Kafka

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

临时修复建议

方案一

在项目启动程序中添加

System.setProperty("log4j2.formatMsgNoLookups", "true");

如图：

方案二

在应用 classpath 下添加 log4j2.properties 配置文件（文件名自定义），文件内容为：

log4j2.formatMsgNoLookups=true

如图：

方案三

直接添加 jvm 启动参数:

-Dlog4j2.formatMsgNoLookups=true启动项目

深信服解决方案

【深信服下一代防火墙AF】可防御此漏洞， 建议用户将深信服下一代防火墙开启 IPS 防护策略，并更新最新安全防护规则，即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】结合云端实时热点高危/紧急漏洞信息，可快速检出业务场景下的该漏洞，并可联动【深信服下一代防火墙AF】等产品实现对攻击者IP的封堵。

【深信服云主机安全平台CWPP】基于主机的资产识别技术，精准、实时识别云主机上进行资产梳理。此次爆发紧急漏洞CWPP实现发现即评估，第一时间掌握高危中间件、应用的分布，评估受影响服务器范围。

【深信服安全云眼CloudEye】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜YJ】在漏洞爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。

【深信服安全大数据平台FutureX】可在漏洞爆发第一时间同步云端漏洞预警和漏洞威胁检测模型，自动启动应急响应编排预案，准确定位受影响资产和修复优先级，迅速收敛攻击暴露面，同步回溯已出现的漏洞利用行为，锁定失陷资产，联动防火墙、EDR等采取阻断缓解措施。可建立实时监控仪表盘，跟踪风险发展趋势。可生成报表支撑事件复盘与汇报。可模拟攻击行为组织攻防演练，提升客户应急响应能力。

【深信服WAF/云WAF】可开启Web应用防护策略，更新到最新防护规则防护此漏洞。为了更安全的效果，建议您同时启用Bot防护功能，过滤漏洞扫描、信息探测等的访问请求，隐藏网站的原始目录结构和代码文件。
【深信服云防护服务云盾】云端安全专家已动态调优和更新策略配置，无需部署任何设备，修改域名即可接入防护。