Apache Log4j2遠程代碼執行漏洞排查及修復手冊

近期，Apache Log4j2遠程代碼執行漏洞（CNVD-2021-95914）曝光，引發社會廣泛關注。攻擊者利用該漏洞，可在未授權的情況下遠程執行代碼，獲得服務器控制權限。經中心綜合技術分析研判，該漏洞具有危害程度高、利用難度低、影響范圍大的特點。為正確處置突發漏洞風險，降低漏洞帶來的損失，中心整理《Apache Log4j2遠程代碼執行漏洞排查及修復手冊》以供相關單位、企業及個人參考。

一、漏洞情況分析

      Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本，通過重寫Log4j引入了豐富的功能特性。該日志組件被廣泛應用于業務系統開發，用以記錄程序輸入輸出日志信息。

      Log4j2組件在處理程序日志記錄時存在JNDI注入缺陷，未經授權的攻擊者利用該漏洞，可向目標服務器發送精心構造的惡意數據，觸發Log4j2組件解析缺陷，實現目標服務器的任意代碼執行，獲得目標服務器權限。

     CNVD對該漏洞的綜合評級為“高危”。

二、漏洞排查方法

2.1 版本排查

     存在該漏洞的Log4j2組件版本為：Log4j2.X≤Log4j組件版本

（1）根據Java JAR解壓后是否存在org/apache/logging/log4j相關路徑結構，查詢Log4j2組件及其版本情況。

（2）若程序使用Maven打包，查看項目的pom.xml文件中org.apache.logging.log4j相關字段及版本情況。

（3）若程序使用Gradle打包，可查看build.gradle編譯配置文件，查看中org.apache.logging.log4j相關字段及版本情況。

2.2 中間件排查

     Apache Log4j2組件通常會嵌套在其他中間件使用，需要相關人員查看開發文檔或聯系系統開發商、維護人員進行判斷是否有使用相關中間件。

     涉及的受影響中間件或應用，包括但不限于：Apache Solr、Apache Druid、Apache Struts2、Apache Flink、Flume、Dubbo、Redis、Logstash、ElasticSearch、Kafka、Ghidra、Minecraft、Apache hive、Datax、Streaming、Dolphin Scheduler、Storm、Spring等。

三、攻擊情況排查

3.1 日志排查

     攻擊者常采用dnslog方式進行掃描、探測，對于常見漏洞利用方式對應用系統報錯日志中的“javax.naming.CommunicationException”、“javax.naming.NamingException: problem generating object using object factory”、“Error looking up JNDI resource”等關鍵字段進行排查。

3.2 流量排查

     攻擊者的漏洞利用數據包中可能存在等字樣，通過監測相關流量是否存在上述字符以發現可能的攻擊行為。

 四、漏洞修復建議

4.1 官方補丁

     目前，Apache官方已發布新版本完成漏洞修復，請及時升級至最新版本2.16.0：https://logging.apache.org/log4j/2.x/download.html。

4.2 臨時修復措施（任選其一）

（1）添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true；

（2）在應用classpath下添加log4j2.component.properties配置文件，文件內容為log4j2.formatMsgNoLookups=true；

（3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

（4）限制受影響應用對外訪問互聯網；

（5）禁用JNDI。如在spring.properties里添加spring.jndi.ignore=true；

（6）部署使用第三方防火墻產品進行安全防護，并更新WAF、RASP規則等。

 五、參考建議

安全廠商-鏈接地址

1  奇安信科技集團股份有限公司 https://mp.weixin.qq.com/s/um4yi15P5bYC5kY1SDR3Uw

2  綠盟科技集團股份有限公司      http://blog.nsfocus.net/apache-log4j2/

3  上海斗象信息科技有限公司      https://vas.riskivy.com/vuln-detail?id=105

4   深信服科技股份有限公司           https://mp.weixin.qq.com/s/XL8Br8mGoJe71IWU4wyuGQ

5  北京數字觀星科技有限公司         https://mp.weixin.qq.com/s/fFBaMAls7TFVg8UpEtZAgg

6   杭州安恒信息技術股份有限公司  https://mp.weixin.qq.com/s/jp_jBd9SN8pHy3jYc1rnTg

7  安天科技股份有限公司                  https://www.antiy.com/response/20211210.html

8  啟明星辰信息技術集團股份有限公司   https://mp.weixin.qq.com/s/SgBhyUfRff4YISsH5_PVTA

9  北京天融信網絡安全技術有限公司      https://mp.weixin.qq.com/s/IT312b89Nh-cCDUGC-b-Zw

10  遠江盛邦（北京）網絡安全科技股份有限公司  https://mp.weixin.qq.com/s/cjvxyKhhZuwmp3qD1wBEqQ

11  東軟集團股份有限公司   https://mp.weixin.qq.com/s/TOX6hbZ_6pNRvuYCjHPC-g

      感謝奇安信科技集團股份有限公司、綠盟科技集團股份有限公司、上海斗象信息科技有限公司、深信服科技股份有限公司、北京數字觀星科技有限公司和杭州安恒信息技術股份有限公司等為本報告提供的技術支持。