Apache Log4j2是一個基于Java的日志記錄工具，是Log4j的升級，是目前最優秀的Java日志框架之一。該日志框架被大量用于業務系統開發，用來記錄日志信息。經確認Apache Log4j2 存在遠程代碼執行漏洞攻擊代碼。該漏洞利用無需特殊配置，入侵者可直接構造惡意請求，觸發遠程代碼執行漏洞。經多方驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

【漏洞詳情】

12月9日，啟明星辰安全應急響應中心監測到網上披露Apache Log4j2 存在遠程代碼執行漏洞，該漏洞是由于Apache Log4j2某些功能存在遞歸解析功能，未經身份驗證的攻擊者通過發送特定惡意數據包，可在目標服務器上執行任意代碼。

【影響版本】

受影響的版本：ApacheLog4j 2.x <= 2.14.1

【修復建議】

1. 升級版本

目前官方已經修復該漏洞，建議受影響產品盡快升級Apache Log4j2所有相關應用到最新的log4j-2.15.0-rc2 版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2。

2. 臨時方案

▸建議JDK使用6u211、7u201、8u191、11.0.1及以上的版本;

▸添加jvm啟動參數:-Dlog4j2.formatMsgNoLookups=true;

▸添加log4j2.component.properties配置文件，增加如下內容為：

log4j2.formatMsgNoLookups=true;

▸系統環境變量中將FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設置為true;

▸禁止安裝log4j的服務器訪問外網，并在邊界對dnslog相關域名訪問進行檢測。

▸凡檢測到包含“${jndi:ldap:”的關鍵字，直接阻斷訪問流量

▸使用如下官方臨時補丁進行修復https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

▸在攻擊過程中可能使用 DNSLog 進行漏洞探測，建議可以通過流量監測設備監控是否有相關 DNSLog 域名的請求。

3. 人工排查

相關用戶可根據Java jar解壓后是否存在org/apache/logging/log4j相關路徑結構，判斷是否使用了存在漏洞的組件，若存在相關Java程序包，則很可能存在該漏洞。

若程序使用Maven打包，查看項目的pom.xml文件中是否存在下圖所示的相關字段，若版本號為小于2.15.0，則存在該漏洞。

若程序使用gradle打包，可查看build.gradle編譯配置文件，若在dependencies部分存在org.apache.logging.log4j相關字段，且版本號為小于2.15.0，則存在該漏洞。

【啟明星辰檢測與防護類產品解決方案】

1. 天清入侵防御系統

天清入侵防御系統已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測和防護。

2. 天清Web應用安全網關

天清Web應用安全網關已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測和防護。

3. 天闐入侵檢測與管理系系統

天闐入侵檢測與管理系統已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

4. 天闐超融合檢測探針

天闐超融合檢測探針已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

5. 天闐威脅分析一體機

天闐威脅分析一體機已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

6. 天闐高級持續性威脅檢測與管理系統

天闐高級持續性威脅檢測與管理系統已經發布緊急特征庫升級包，可在線升級或離線升級，即可對此攻擊進行檢測。

啟明星辰集團WAF、IPS、TAR、CSP、IDS、CS、APT產品特征庫官網更新完畢，網關和安管不受此漏洞影響。復制鏈接(https://venustech.download.venuscloud.cn/)，即可進入統一升級中心，下載所需升級包。