1、漏洞描述
2、漏洞影响范围
该漏洞主要影响Log4j2 2.x版本,版本小于2.15.0-rc2的软件均受到影响,具体情况如下:
云天的安全专家和工程师团队,通过对该漏洞的详细研究和分析,已成功分离提取出了Apache Log4j2漏洞的相关特征。并已将对应的特征添加到超融合探针产品的恶意流量检测库和极高危风险漏洞库。
3、漏洞识别与检测
攻击侧流量监测
通过将客户的网络流量引入到超融合探针产品,经过超融合探针产品实时的监控和分析,可精确的识别出客户的网络中是否存在Apache Log4j2漏洞的恶意攻击流量通信。
通过对恶意攻击流量的精确识别,可有效的帮助客户进行早期的网络层的攻击识别与预警。对恶意的攻击来源,可采取封禁阻断等安全措施进行早期安全防护,从而有效降低漏洞带来的安全风险。
防御侧漏洞扫描
客户重要的资产服务器等,可通过超融合探针产品进行安全漏洞扫描,从而检测出重要资产服务器是否存在Apache Log4j2漏洞。
对于识别出存在Log4j2漏洞的客户资产服务器,可采取及时进行漏洞修补等安全防范措施。
通过防御侧的漏洞扫描方法,可更为及时有效的对客户的重要资产进行漏洞的识别和定制更为精准的安全防护方法。
4、漏洞修复建议
升级建议
升级版本目前官方已经修复该漏洞,建议受影响产品尽快升级 Apache Log4j2 所有相关应用到最新的 log4j-2.15.0-rc2及以上版本 ,参考下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
调整相关参数
(1)添加 java虚拟机jvm的启动参数-Dlog4j2.formatMsgNoLookups=true;
(2)在应用程序的classpath下添加如下配置log4j2.component.properties配置文件,文件内容:log4j2.formatMsgNoLookups=True;
(3)设置系统环境变量:FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置 true;
(4)建议 JAVA JDK 使用 11.0.1、8u191及以上的高版本;
(5)限制受影响应用对外访问互联网。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号