美國CISA命令聯邦機構在12月24日之前修復Log4Shell

近日，美國CISA命令聯邦機構在2021年12月24日之前解決Log4j庫中的關鍵Log4Shell漏洞。該命令旨在防止威脅行為者利用該漏洞攻擊政府系統。

值得一提，這個漏洞最初是由中國工程師、阿里云安全團隊的 Chen Zhaojun 在 11 月下旬發現并提報的。該問題的影響是毀滅性的，全球數以千計的組織將受到攻擊，安全專家已經報告了在野外進行的利用企圖

詳情

12月14日，美國CISA 在已知被利用漏洞目錄中添加了13個新漏洞，其中包括Apache Log4Shell Log4j。該列表包括經常被威脅行為者用作攻擊媒介的問題，這些問題對聯邦企業構成重大風險。美國機構還發布了“Apache Log4j 漏洞指南”，其中包括有關該漏洞的技術細節，并提供和緩解指南。

“CISA 及其合作伙伴通過聯合網絡防御協作組織，正在跟蹤和響應對影響 Apache Log4j 軟件庫版本 2.0-beta9 至 2.14.1 的關鍵遠程代碼執行漏洞 (CVE-2021-44228) 的廣泛利用。Log4j 廣泛用于各種消費者和企業服務、網站和應用程序以及運營技術產品，以記錄安全和性能信息。” 閱讀CISA 發布的公告。“CISA 敦促組織查看其 Apache Log4j 漏洞指南網頁并升級到 Log4j 版本 2.15.0，或立即應用適當的供應商推薦的緩解措施。”

CISA建議立即采取3項措施：

枚舉使用 Log4j 的面向 Internet 的端點

確保 SOC 對受影響設備上的每個警報采取行動

安裝自動更新的Web應用程序防火墻

網絡安全和基礎設施安全局 (@CISAgov) ，2021年12月13日根據BOD 22-01，美國CISA命令聯邦文職行政部門機構在 2021 年 12 月 24 日前處理 Log4Shell。 

美國 CISA 建議受影響的實體：

查看 Apache 的 Log4j 安全漏洞頁面以獲取更多信息。

立即應用可用的補丁。參閱CISA即將推出的GitHub存儲庫，了解已知受影響的產品和補丁信息。

優先打補丁，從關鍵任務系統、面向互聯網的系統和聯網服務器開始。優先修補其他受影響的信息技術和運營技術資產。

在應用補丁之前

log4j2.formatMsgNoLookups

 通過添加

-Dlog4j2.formatMsgNoLookups=True

到用于啟動應用程序的 Java 虛擬機命令設置 為 true 。注意：如果系統依賴于消息格式的查找，這可能會影響系統日志記錄的行為。此外，此緩解措施僅適用 2.10及更高版本。

如上所述，BOD 22-01指示聯邦機構在2021年12月24日之前緩解CVE-2021-44228，作為已知漏洞利用目錄的一部分。進行安全審查以確定是否存在安全問題或威脅。使用受影響的 Log4j 版本的任何服務的日志文件將包含用戶控制的字符串，立即向CISA和FBI報告妥協。