一、漏洞概述

Apache Log4j2是一款优秀的Java日志框架，该框架重写了Log4j框架，并且引入了大量丰富特性。该框架主要用于业务系统开发，记录日志信息。

由于Apache Log4j2的某些功能存在递归解析特性，攻击者可直接构造恶意请求，触发远程代码执行漏洞。无需特殊配置，只要发送包含恶意指令的请求，即可验证该漏洞。

经安博通安全研究团队分析，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受到影响，漏洞等级为高危。

二、影响范围

Apache Log4j 2.x < 2.15.0-rc2

需要排查Java应用是否引用log4j-api、log4j-core两个jar包，若有引用，则极大可能存在漏洞。

已知受影响组件：

· Apache Struts2

· Apache Solr

· Apache Flink

· Apache Druid

· ElasticSearch

· flume

· dubbo

· Redis

· logstash

· kafka

三、处置建议

1、使用安博通深度安全网关

网关已支持该漏洞防护，规则包需升级到20211210及以后版本。升级路径为：系统维护→系统升级→自动升级，点击立即升级，或下载离线特征库手动升级。

· 规则编号：957735、957736

· 规则名称：log4j2远程命令执行漏洞

· 匹配内容：匹配任意端口包含${jndi:[攻击指令]}的内容

如果无法及时更新规则库，也可以使用自定义规则。路径为：入侵防御→规则库→自定义规则，新建IPS自定义规则：x24x7bx6ax6ex64x69x3a 。

2、使用安博通TFS鹰眼全流量取证系统

系统已支持对该漏洞产生攻击的分析溯源。

（1）新建特征值告警，将告警特征添加至告警规则。

（2）捕获数据流中命中特征值的告警规则，实时告警并生成日志。

（3）根据告警日志中的时间、IP、端口等信息，关联告警报文并下载，完成取证。

3、官方措施

官方发布的最新版本log4j-2.15.0-rc2已修复该漏洞，建议受影响的用户及时更新至最新版本。

Log4j2最新版本下载链接：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

4、临时措施

如果无法升级到最新版本，可使用以下方法缓解漏洞影响。

（1）添加jvm启动参数：-Dlog4j2.formatMsgNoLookups=true 。

（2）在应用classpath下添加log4j2.component.properties配置文件，内容为：

log4j2.formatMsgNoLookups=True 。

（3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本。

（4）系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true 。

四、参考链接

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

https://www.cnvd.org.cn/webinfo/show/7116