Apache Log4j2远程代码执行漏洞攻击，华为云安全支持检测拦截 - 安防知识网

近日，华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞。

　　近日，华为云安全团队关注到Apache Log4j2 的远程代码执行最新漏洞。

　　Apache Log4j2是一款业界广泛使用的基于Java的日志工具，该组件使用范围广泛，利用门槛低，漏洞危害极大。华为云安全在第一时间检测到漏洞状况并在官网发布相关公告，在此提醒使用Apache Log4j2的用户尽快安排自检并做好安全防护。

　　Apache Log4j2是一款业界广泛使用的基于Java的日志记录工具。此次曝出的漏洞，利用门槛低，漏洞危害极大，威胁级别定义为严重级。此漏洞存在于Apache Log4j 2.x到 2.15.0-rc1多个版本，已知受影响的应用及组件包括spring-boot-starter-log4j2 / Apache Solr / Apache Flink / Apache Druid等。

　　华为云安全在第一时间提供了对该漏洞的防护。仅仅过去数小时，华为云WAF就在现网中拦截了Apache Log4j2 远程代码执行漏洞的大量变形攻击，通过分析发现攻击者正在不断尝试新的攻击方法，当前已识别到10+种试图取得服务器控制权的变形攻击。鉴于此漏洞威胁级别高，而且出现大量变形攻击，因此华为云安全团队提醒客户及时进行检测、采取处置措施和开启防护服务。

　　漏洞处置

　　1. 尽快升级至Apache log4j-2.15.0-rc2官方正式版，Apache官方已发布补丁，下载地址：

　　https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

　　2. 对于无法短时间升级新版本的情况，建议采取如下措施来缓解：

　　(优先) 添加以下JVM启动参数来禁止解析JDNI，重启服务，jvm参数 -Dlog4j2.formatMsgNoLookups=true

　　log4j2配置中设置log4j2.formatMsgNoLookups=True 禁止解析JDNI

　　系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

　　确保使用高版本JDK，如JDK8u191默认限制远程加载恶意类(只能增加漏洞利用难度，不能杜绝)

　　禁止没有必要的业务访问外网

　　开启防护服务，主动检测和动态防护

　　华为云安全持续监测此漏洞及其变种攻击，建议开启相关安全防护服务，主动扫描防护利用此漏洞进行的恶意攻击：

　　1. 开启华为云WAF的基础防护功能（WAF标准版、专业版或铂金版），检测和拦截各种变形攻击，您可免费申请1个月标准版试用。