Apache Log4j2 遠程代碼執行漏洞的安全預警與建議

近日，海峽信息安全威脅情報中心監測到Apache Log4j2被曝存在遠程代碼執行漏洞，漏洞利用成功將導致用戶應用系統及服務器系統被控制。

一、漏洞描述

Apache Log4j2是一個基于Java的日志記錄工具，是Log4j的升級，在其前身Log4j 1.x基礎上提供了Logback中可用的很多優化，同時修復了Logback架構中的一些問題，是目前最優秀的Java日志框架之一。該日志框架被大量用于業務系統開發，用來記錄日志信息。開發者可能會將用戶輸入造成的錯誤信息寫入日志中。

由于Apache Log4j 2某些功能存在遞歸解析功能，攻擊者可直接構造惡意請求，觸發遠程代碼執行漏洞。觸發條件為只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

二、影響范圍

Apache Log4j 2.x <= 2.14.1

三、安全防范建議

海峽信息提醒各相關單位和用戶要強化風險意識，切實加強安全防范：

1、目前海峽態勢感知、防火墻、IPS等安全設備規則已支持該漏洞攻擊及相關漏洞的檢測，請相關用戶及時升級設備安全規則，相關特征庫已發布到官網http://www.acne-vitamins.com/Technical/upgrade.html

2、建議排查Java應用是否引入log4j-api , log4j-core 兩個jar，若存在使用，極大可能會受到影響，如圖：

1、升級官方補?。ㄈ粲懈掳姹窘ㄗh升級到最新），見
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、臨時解決方案
設置jvm參數 “-Dlog4j2.formatMsgNoLookups=true”，
設置“log4j2.formatMsgNoLookups=True”，
將系統環境變量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”設置為“true”，
關閉相關應用的網絡外連，禁止主動外連。