最近幾天對于很多開發(fā)者而言，只能用爭分奪秒與膽戰(zhàn)心驚來形容。而造成這一切的源頭，來自于被公布的 Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2021-95914）。當(dāng)前幾乎所有技術(shù)巨頭都在使用該開源組件，其危害將帶來一連串連鎖反應(yīng)。據(jù)行業(yè)機(jī)構(gòu)不完全統(tǒng)計，該漏洞影響 6w+ 流行開源軟件，影響 70% 以上的企業(yè)線上業(yè)務(wù)系統(tǒng)！漏洞波及面、危害程度均堪比 2017 年的讓數(shù)百萬臺主機(jī)面臨被勒索病毒攻擊的風(fēng)險的“永恒之藍(lán)”漏洞。

漏洞解析

Apache Log4j RCE 漏洞造成如此大影響的原因，不僅在于其易于利用，更在于其巨大的潛在危害性。此次危機(jī)由 Lookup 功能引發(fā)，Log4j2 在默認(rèn)情況下會開啟 Lookup 功能，提供給客戶另一種添加特殊值到日志中的方式。此功能中也包含了對于 JNDI 的 Lookup，但由于 Lookup 對于加載的 JNDI 內(nèi)容未做任何限制，使得攻擊者可以通過 JNDI 注入實現(xiàn)遠(yuǎn)程加載惡意類到應(yīng)用中，從而造成 RCE。

據(jù)悉，Apache Log4j 2.x <= 2.14.1 版本均回會受到影響。可能的受影響應(yīng)用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接應(yīng)用了 Log4j-core 的依賴中，就包含了 SpringBoot、JBoss、Solr 等流行框架。漏洞幾乎影響所有使用 Log4j2 2.15.0 的用戶，包含 2.15.0-rc1 也已經(jīng)有繞過手法流出。

僅需四步，借助阿里云 ARMS 應(yīng)用安全，全面攔截 Log4j2 漏洞攻擊

此次 Log4j2 漏洞，作為一款日志框架，相比起記錄日志等類型的正常行為，進(jìn)行命令注入、執(zhí)行，本身就是明顯異常行為。

RASP 在默認(rèn)規(guī)則下，會攔截掉所有因反序列、JNDI 注入導(dǎo)致的命令執(zhí)行、任意文件讀取、惡意文件上傳等危險行為。不同于傳統(tǒng)基于流量特征的防御方式，RASP（Runtime Application Self-Protection）基于行為和應(yīng)用運行時上下文，不會陷入特征窮舉并更加關(guān)注「正常基線」。即應(yīng)用的正常使用行為有哪些，如果這個行為（如命令執(zhí)行）不屬于該功能的正常操作，則會進(jìn)行攔截。

此次漏洞，系 Log4j2 的 JNDI 功能造成的命令執(zhí)行漏洞，處在 RASP 覆蓋場景之中，無需新增規(guī)則也能默認(rèn)防御。因此，ARMS 應(yīng)用安全基于阿里云 RASP 技術(shù)針對上述漏洞進(jìn)行攻擊防護(hù)。

1、登錄阿里云?ARMS 控制臺

說明：阿里云 ARMS 探針版本容器服務(wù)應(yīng)用 / EDAS 應(yīng)用等自動升級場景 >=2.7.1.2，其他場景(手動升級)>=2.7.1.3。應(yīng)用首次開啟接入ARMS應(yīng)用安全，需要重啟應(yīng)用實例。

2、在左側(cè)導(dǎo)航欄，選擇應(yīng)用?> 攻擊統(tǒng)計頁面

當(dāng)受到 Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞攻擊時，ARMS 應(yīng)用安全會識別上報攻擊行為事件。還可通過配置告警規(guī)則，通過短信、釘釘、郵件等渠道接收攻擊告警通知。默認(rèn)防護(hù)模式為監(jiān)控模式，建議觀察一段時間后調(diào)整防護(hù)設(shè)置為監(jiān)控并阻斷，一旦發(fā)生攻擊行為可以直接阻斷，保障應(yīng)用安全運行。

3、在左側(cè)導(dǎo)航欄，選擇應(yīng)用安全?>?危險組件檢測，針對三方組件以來自動分析關(guān)聯(lián) CVE 漏洞庫并提供修復(fù)建議

4、危險組件全量自查，通過搜索查看所有接入應(yīng)用是否包含 Log4j 組件，并確定組件版本

修復(fù)升級與建議

（1）排查應(yīng)用是否引入了 Apache Log4j-core Jar 包，若存在依賴引入，且在受影響版本范圍內(nèi)，則可能存在漏洞影響。請盡快升級 Apache Log4j2 所有相關(guān)應(yīng)用到最新的 Log4j-2.15.0-rc2 版本。

地址：??https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2??

（2）升級已知受影響的應(yīng)用及組件，如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

（3）可升級 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上，可以在一定程度上限制 JNDI 等漏洞利用方式。

（4）盡可能杜絕對外開放端口，加強應(yīng)用的證書驗證管控，最大可能減少外網(wǎng)攻擊面。

（5）在外網(wǎng)開啟 Web 應(yīng)用防火墻 +RASP 組合，采取行為和應(yīng)用運行時上下文防御策略。

（6）安全配置評估中，嚴(yán)格控制開源軟件安全，并自建內(nèi)部安全版本庫，及時更新。

（7）建立多層檢測防御體系，采用內(nèi)網(wǎng)多層隔離，并全面提升威脅檢測能力。

點擊??此處??，查看更多應(yīng)用安全相關(guān)信息！

總結(jié)

以上是生活随笔為你收集整理的如何强化应用安全能力，全面拦截 Log4j 漏洞攻击的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。