Apache Log4j2遠端程式碼執行漏洞風險緊急通告，騰訊安全支援全面檢測攔截

騰訊安全注意到，一個Apache Log4j2的高危漏洞細節被公開，攻擊者利用漏洞可以遠端執行程式碼。

 

漏洞描述：

騰訊安全注意到，一個Apache Log4j2反序列化遠端程式碼執行漏洞細節已被公開，Log4j-2中存在JNDI注入漏洞，當程式將使用者輸入的資料進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意程式碼。

 

Apache Log4j2是一個基於Java的日誌記錄工具。該工具重寫了Log4j框架，並且引入了大量豐富的特性。該日誌框架被大量用於業務系統開發，用來記錄日誌資訊。大多數情況下，開發者可能會將使用者輸入導致的錯誤資訊寫入日誌中。

因該元件使用極為廣泛，利用門檻很低，危害極大，騰訊安全專家建議所有使用者儘快升級到安全版本。

 

漏洞編號：暫缺

漏洞等級：

高危，該漏洞影響範圍極廣，危害極大。

CVSS評分：10（最高階）

 

漏洞狀態：

 

 

受影響的版本：

Apache log4j2 2.0 - 2.14.1 版本均受影響。

 

安全版本：

Apache log4j-2.15.0-rc1

漏洞復現與驗證：

騰訊安全專家已第一時間對該漏洞進行復現驗證

 

漏洞修復方案：

Apache官方已釋出補丁，騰訊安全專家建議受影響的使用者儘快升級到安全版本。

補丁下載地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc1

漏洞緩解措施：

（1）jvm引數 -Dlog4j2.formatMsgNoLookups=true

（2）log4j2.formatMsgNoLookups=True

騰訊安全解決方案：

騰訊T-Sec Web應用防火牆（WAF）、騰訊T-Sec高階威脅檢測系統（NDR、御界）、騰訊T-Sec雲防火牆已支援檢測攔截利用Log4j2 遠端程式碼執行漏洞的攻擊活動。

 

騰訊T-Sec主機安全（雲鏡）、騰訊容器安全服務（TCSS）已支援檢測企業資產（主機、容器及映象）是否存在Apache Log4j2遠端程式碼執行漏洞。

 

自助處置手冊：

1. 使用騰訊T-Sec雲防火牆防禦漏洞攻擊

騰訊T-Sec雲防火牆已新增虛擬補丁規則支援阻斷利用Apache Log4j2遠端程式碼執行漏洞的攻擊，客戶可以開通騰訊雲防火牆高階版進行防禦。

在騰訊雲控制檯介面，開啟入侵防禦設定即可，騰訊雲防火牆的虛擬補丁機制可以有效抵禦漏洞利用。

2. 使用騰訊T-Sec Web應用防火牆（WAF）防禦漏洞攻擊

登入騰訊雲Web應用防火牆控制檯，依次開啟左側“資產中心-域名列表”，新增域名並開啟防護即可。步驟細節如下：

騰訊雲Web應用防火牆控制檯：資產中心->域名列表，點選新增域名：

SaaS型別域名接入，輸入域名，配置埠，源站地址或者域名，點選確定即可，新增之後防護預設開啟

 

負載均衡型別域名接入，輸入域名，配置代理，負載均衡監聽器，點選確定即可，新增之後防護預設開啟

 

 

域名列表檢視配置，防護開關、回源IP等接入情況，確認接入成功。

3.使用騰訊T-Sec主機安全（雲鏡）檢測修復漏洞。

登入騰訊主機安全控制檯，依次開啟左側“漏洞管理”，對掃描到的系統元件漏洞、web應用漏洞、應用漏洞進行排查。步驟細節如下：

主機安全（雲鏡）控制檯：開啟漏洞管理->系統漏洞管理，點選一鍵檢測：

 

檢視掃描到的Apache Log4j元件遠端程式碼執行漏洞風險專案：

確認資產存在Apache Log4j元件遠端程式碼執行漏洞風險：

升級Apache Log4j到安全版本

回到主機安全（雲鏡）控制檯再次開啟“漏洞管理”，重新檢測確保資產不受Apache Log4j元件遠端程式碼執行漏洞影響。

4. 使用騰訊T-Sec容器安全服務檢測修復映象漏洞

登陸騰訊容器安全服務控制檯，依次開啟左側“映象安全”，對本地映象和倉庫映象進行排查。步驟細節如下：

1）容器安全服務控制檯：開啟本地映象/倉庫映象-點選一鍵檢測，批次選擇Apache Log4j元件關聯映象，確認一鍵掃描：

2）掃描完畢，單擊詳情確認資產存在Apache Log4j元件遠端程式碼執行漏洞風險

3）升級到pache Log4j到安全版本

4）回到容器安全服務控制檯再次開啟“映象安全”，重新檢測確保資產不受Apache Log4j元件遠端程式碼執行漏洞影響。