騰訊容器安全服務首推Apache Log4j2漏洞線上修復方案

騰訊云容器安全服務團隊通過犀引擎發現較多鏡像受ApacheLog4j2遠程代碼執行漏洞影響，存在較高風險！為助力全網客戶快速修復漏洞，免費向用戶提供試用，登錄控制臺（https://console.cloud.tencent.com/tcss）即可快速體驗。

1、漏洞描述

騰訊云容器安全服務團隊注意到，12月9日晚，Apache Log4j2反序列化遠程代碼執行漏洞細節已被公開，Apache Log4j-2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日志記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標服務器上執行任意代碼。

Apache Log4j2是一個基于Java的日志記錄工具。該工具重寫了Log4j框架，并且引入了大量豐富的特性。該日志框架被大量用于業務系統開發，用來記錄日志信息。大多數情況下，開發者可能會將用戶輸入導致的錯誤信息寫入日志中。

因該組件使用極為廣泛，利用門檻很低，危害極大，騰訊安全專家建議所有用戶盡快升級到安全版本。

2、漏洞風險

高危，該漏洞影響范圍極廣，利用門檻很低，危害極大。

CVSS評分：10（最高級）

3、漏洞影響版本

Apache log4j2 >= 2.0, <= 2.14.1

4、安全版本

Apache log4j2 2.15.0

5、漏洞修復建議

騰訊云容器安全團隊建議用戶使用騰訊容器安全服務（TCSS）對已使用鏡像進行安全掃描，檢測修復鏡像漏洞，詳細操作步驟如下： 

（1）登陸騰訊容器安全服務控制臺（https://console.cloud.tencent.com/tcss），領取7天免費試用；

（2）依次打開左側“鏡像安全”，對本地鏡像和倉庫鏡像進行排查；

（3）本地鏡像/倉庫鏡像功能-點擊一鍵檢測，批量選擇ApacheLog4j組件關聯鏡像，確認一鍵掃描；

（4）掃描完畢，單擊詳情確認資產存在Apache Log4j組件遠程代碼執行漏洞風險；

（5）升級到Apache Log4j到安全版本；

（6）回到容器安全服務控制臺再次打開“鏡像安全”，重新檢測確保資產不受Apache Log4j組件遠程代碼執行漏洞影響；

（7）確認修復后，基于新鏡像重新啟動容器。

6、線上業務臨時修復方案

如果漏洞鏡像短時間內不方便逐個按照前文流程進行升級修復。可以按照這種方式，在不用修改鏡像的情況下，臨時修改線上業務的運行狀態，達到暫時修復的效果。

1:通過TCSS產品獲取待修復的鏡像，以

鏡像為例

2：登入集群環境確定鏡像受影響的資源：

或者：

可以發現只有1個deployment使用了這個鏡像，deployment名稱為log4j2，ReplicaSet也是deployemnt資源的一種，可以忽略

3: 通過以上步驟我們可以通過獲取deployemnt信息再次確認信息

kubectl get deployments log4j2 -o yaml

得到如下結果：

4：執行修復動作

kubectl edit deployments log4j2

彈出一個編輯框，添加添加jvm啟動參數 ，只適用于log4j2版本>=2.10+版本

（對于2.0-2.10版本，應先升級至2.10+，再增加jvm參數）

-Dlog4j2.formatMsgNoLookups=true

如圖所示： 

5：檢查pod是否正常啟動：

kubectl get deployment log4j2 -o wide

得到如下結果：

騰訊T-Sec主機安全（云鏡）、騰訊安全T-Sec Web應用防火墻（WAF）、騰訊T-Sec高級威脅檢測系統（NDR、御界）、騰訊T-Sec云防火墻產品均已支持檢測攔截利用Apache Log4j2遠程代碼執行漏洞的攻擊活動。

官方補丁：

升級Apache Log4j所有相關應用到最新的 Log4j-2.15.0官方穩定版本。

補丁地址：

https://logging.apache.org/log4j/2.x/download.html

緩解措施： (任選一種，適用于>=2.10+版本）

（1）添加jvm啟動參數:

-Dlog4j2.formatMsgNoLookups=true

（2）在應用classpath下

添加log4j2.component.properties配置文件，文件內容為：

log4j2.formatMsgNoLookups=true

關于騰訊安全犀引擎能力

騰訊云容器安全服務集成騰訊安全團隊自研犀引擎能力，犀引擎基于公開漏洞庫和騰訊安全多年積累的漏洞信息庫，可精準識別系統組件及應用組件的漏洞，動態評估漏洞風險，準確定位出需要優先修復關注的漏洞。

（1）支持Redhat、centos、ubuntu、debian、alpine等主流操作系統下的系統組件漏洞掃描，支持java、python、golang、nodejs、php、ruby等主流編程語言的軟件包的漏洞掃描。

（2）動態漏洞風險評估基于通用漏洞評分系統(CVSS)，依據漏洞攻擊利用的真實傳播狀態、漏洞修復的難易程度、漏洞可造成的實際危害、安全專家評判等粒度，動態評估漏洞的實際風險。

（3）針對系統組件和應用組件中版本類型多、公開漏洞信息不精確等問題，引擎結合自動化運營和安全專家研判，提供多維精準漏洞識別。

關于騰訊容器安全服務（TCSS）

騰訊容器安全服務（Tencent Container SecurityService, TCSS）提供容器資產管理、鏡像安全、運行時入侵檢測等安全服務，保障容器從鏡像生成、存儲到運行時的全生命周期，幫助企業構建容器安全防護體系。

騰訊容器安全服務產品團隊結合業內最大規模容器集群安全治理運營經驗打磨產品，推動行業標準及規范的編寫制定，并首發《容器安全白皮書》，對國內容器環境安全現狀進行分析總結，助力云原生安全生態的標準化和健康發展。