建议用户彻底排查所使用的应用是否引入了Apache Log4j2 Jar包,特别是各单位在历史招标建设中明确要求采用 Log4j 或 SLF4J 记录日志的信息系统,若存在引入则可能受该漏洞影响。排查方法如下:
1、针对应用自身排查
在应用内部搜索log4j-core-*.jar以及log4j-api-*.jar两个关键字,查看其版本是否在受影响的版本范围中,同时查看其pom.xml文件内部的版本号进行二次确认。也可以通过查看内部JAVA源代码库中所引入的组件清单列表来确认是否引入了Apache Log4j 2.x的Jar包。
find / -name “log4j*”
2、入侵排查
攻击者在利用前通常采用dnslog方式进行扫描、探测,针对该漏洞利用可通过应用系统报错日志中的如下关键字进行排查:
“javax.naming.CommunicationException”
“javax.naming.NamingException: problem generating object using object factory”
“Error looking up JNDI resource”
攻击者发送的恶意数据包中可能存在“${jndi:rmi”、“${jndi:ldap”关键字,推荐使用全流量或WAF设备进行检索排查。
检测:
在WAF中添加如下两条自定义规则:
tcp_payload^%24%7Bjndi%3Aldap%3A%2F%2F
http_msgbody^%24%7Bjndi%3Aldap%3A%2F%2F
临时缓解措施(任选一种):
修改jvm启动参数 -Dlog4j2.formatMsgNoLookups=true
修改配置log4j2.formatMsgNoLookups=True
设置系统环境变量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 为 true
临时缓解措施自动化处置脚本:
1. Windows 操作系统:使用管理员权限运行log4j2_hjcs.bat
Windows 处置脚本下载地址:
https://www.antiy.com/tools/Log4j2_hjcs.bat
2. Linux 操作系统:在命令控制终端输入chmod 777 ./Log4j2_hjcs.sh
Linux 处置脚本下载地址:
https://www.antiy.com/tools/Log4j2_hjcs.sh
升级Apache Log4j 2 至2.15.0 rc2 版本,下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
极牛网精选文章《Apache Log4j2漏洞的排查方法和缓解措施》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/17437.html