Apache曝核級漏洞，360釋出整體安全防護解決方案

12月9日，360政企安全集團監測到Apache 官方於2021年12月07日釋出了log4j-2.15.0-rc1版本。經360政企安全集團安全專家研判，該版本存在繞過風險，具有安全隱患。廠商已釋出最新版本log4j-2.15.0-rc2，請廣大使用者儘快更新。

該元件在開啟了日誌記錄功能後，凡是在可觸發錯誤記錄日誌的地方，插入漏洞利用程式碼，即可利用成功。若該元件記錄的日誌會包含其他系統的記錄日誌，則有可能造成間接投毒。透過中間系統，使得元件間接讀取了具有攻擊性的漏洞利用程式碼，亦可間接造成漏洞觸發。

經360漏洞雲安全專家研判，log4j2是全球使用廣泛的java日誌框架，同時該漏洞還影響很多全球使用量的Top序列的通用開源元件，例如 Apache Struts2、Apache Solr、Apache Druid、Apache Flink等。該漏洞利用方式簡單，危害嚴重，官方已經發布該產品的最新版本，建議使用者儘快升級元件，修復緩解該漏洞。

漏洞影響面分析

透過Google搜尋引擎對依賴該元件的產品、其他開源元件分析，發現有310個產品、開源元件依賴了Apache Log4j2 2.14.1的版本。

根據網路空間測繪系統Quake探測的全網使用Java語言編寫的產品部署量如下圖所示：

從使用量全球Top5的統計表中可以看出，Java開發語言的使用量第一名是美國，第二名是中國，且中美的使用量幾乎持平。

在國內Java開發的元件的部署量重點地區是北京市、廣東省、浙江省、上海市以及香港特別行政區。

綜上，根據 Log4j2本身的使用量、影響量，再根據Java語言開發的產品元件的全球分佈和國內分佈，可大致推算出本次Log4j2漏洞在全球影響最大的地區是中國和美國，在國內需要著重關注的地區是 北京、上海、廣東、浙江、香港。

由於此次漏洞元件屬於Java產品的基礎元件，漏洞影響面覆蓋全行業。凡是使用了Java作為開發語言研發產品的企業，或者使用了Java語言開發的產品的企業，企業內部均需要自查自身的安全隱患。

鑑於該漏洞危害嚴重，利用方式簡單，影響廣泛，360政企安全集團緊急預警併成立應急事件小組，研究應對本次事件的使用者對策，目前已經上線包含檢測、防禦、修復等在內的整體解決方案，使用者可根據自身情況安裝使用，全面消除安全隱患。

修復及建議

1)      儘快透過參考連結中官網地址升級到最新版本：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2)      配置網路防火牆，禁止系統主動外連網路，包含不限於DNS、TCP/IP、ICMP。

3)      升級已知受影響的應用及元件，如srping-boot-strater-log4j2、ApacheSolr、Apache Flink、Apache Druid。

4)      排查日誌集中管理伺服器，以及基於java開發的商業軟體，以及其他可能存在隱患的基礎環境。

5)      緊急加固緩解措施：

設定引數：

log4j2.formatMsgNoLookups=True

修改JVM引數：

-Dlog4j2.formatMsgNoLookups=true

系統環境變數：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS設定為true

禁止 log4j2 所在伺服器外連

6)      同時建議您使用360相關安全產品及服務，為您保駕護航。

360政企解決方案

1.  360本地安全大腦

360本地安全大腦針對該漏洞威脅，第一時間釋出安全更新，可實現針對該漏洞的主動檢測，助力全面攔截利用該漏洞發起的攻擊，請廣大使用者及時更新檢測規則。

由於已存在在野的poc利用，360本地安全大腦監測發現部分攻擊者利用公共dnslog平臺進行漏洞探測情況（本腦已內建dnslog檢測規則），請及時關注dnslog相關攻擊域名訪問。

360本地安全大腦是360基於雲端計算、大資料、人工智慧等新一代資訊科技，將雲端安全大腦核心能力本地化部署的一套統一安全平臺。基於這個平臺透過模組化組合開發了一系列場景化解決方案。針對高危漏洞的攻擊，運營人員可根據安全告警，結合產品能力實現對攻擊行為的分析、溯源、處置。

2.   360高階持續性威脅預警系統

360高階持續性威脅預警系統（360NDR）產品能快速檢測Log4j2遠端程式碼執行漏洞利用的情況。360NDR產品檢測情況：

使用者可在360NDR的”統一告警”頁面和”流量攻擊/遠端漏洞攻擊”頁面，檢視是否有駭客利用該漏洞的進行攻擊，如有，建議手動或者聯動防火牆對攻擊IP進行阻斷。

360NDR產品更新方式：如果使用者可連網際網路，點選線上更新即可；如果使用者為內網環境，不能連網際網路，請聯絡360安全服務團隊，進行離線升級。

360NDR，全稱360高階持續性威脅預警系統，是一款專門應對高階網路威脅的新一代智慧安全產品，系統旁路部署網路出口，對網路流量進行深度分析，檢測零日漏洞（0DAY）、高階木馬、遠端控制和滲透行為等網路攻擊和失陷資產，並儲存原始攻擊PCAP包和檔案，提供視覺化溯源分析和防火牆聯動，幫助使用者快速構建威脅檢測、分析、溯源到響應處置閉環流程。

1.      360資產管理與威脅探測系統（天相）

鑑於此漏洞的高危影響，360資產管理與威脅探測系統（360天相）第一時間釋出了POC外掛，能夠主動檢測該高危漏洞風險，保護不同領域客戶的資料和財產安全。已經部署360天相的客戶可以透過線上更新的方式自動化更新POC外掛，未部署的客戶可聯絡360安全服務團隊，在安裝部署最新版360天相後，透過前往情報-漏洞情報處一鍵下發POC檢測任務，新客戶建議先發起資產測繪任務，再發起POC檢測任務。

360安全大腦經研判發現，如果想要檢測到該漏洞，就必須需要找到該漏洞的實際路徑。但常規POC檢測大多僅為主頁或者預設路徑。因此，在360安全大腦的賦能下，360天相透過基於web引擎和POC檢測相結合的方式，採用爬蟲測繪能力，能夠進一步發現web站點的實際訪問路徑，從而發現更深層級的漏洞路徑。同時，基於深層級URL進行的POC檢測，可助力360天相提供到較常規POC檢測更全面的檢測能力。

3、360雲探安全監測系統

360雲探安全監測系統是一款面向黨政軍、金融、教育和網際網路使用者的綜合型SaaS化網站應用安全監測服務產品，可有效監測網站的異常，發現企業網站的安全問題，目前已可以針對此漏洞進行安全監測。

 4、360磐雲安全防護系統

360磐雲安全防護系統是集合網站配置、防護、加速、管理於一體的基於SaaS化安全防護產品，旨在解決使用者網站安全問題，目前已可以針對此漏洞進行安全防護。

 5、 360安全服務

360雲端安全專家提供7*24小時持續的安全保障服務，在漏洞爆發之初，雲端安全專家即對使用者的網路環境進行漏洞掃描，保障第一時間檢查使用者是否存在此漏洞，針對存在漏洞的使用者，檢查並更新防護裝置策略，確保使用者防護裝置可以防護此漏洞風險。

聯絡方式：

電話：400-0309-360

郵箱：anfu-b@360.cn

或聯絡360政企當地安服技術團隊，如果情況嚴重，360將派駐安全專家上門修復。

獲取更多情報：

建議您訂閱360漏洞雲-漏洞情報服務，獲取更多漏洞情報詳情以及處置建議，讓您的企業遠離漏洞威脅。

電話：010-52447660

郵箱：loudongyun@360.cn

網址：https://loudongyun.360.cn