近日,Log4j2 被爆出现核弹级利用成本极低危害极大的漏洞,黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响60000+流行开源软件,影响70%以上的企业线上业务系统!
软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件。那么如何判断自己的业务是否受到影响并修复漏洞,京东云为您提供以下应对方案。鉴于漏洞的严重性和广泛性,京东云安全将为所有企业提供免费且强大的技术支持。用户通过https://threatscanner-console.jdcloud.com/jsecscanner/overview即可进行线上排查,或在京东云官网https://www.jdcloud.com/点击咨询,了解免费的漏洞防御解决方案,获得技术人员的支持。具体操作:在网站威胁扫描控制台左边栏任务管理,创建扫描任务,选择远程代码执行下面的Log4j2漏洞检测选项后,选择资产,点击确定。针对此漏洞,京东云各安全产品更新规则,为云上客户全面防御最新漏洞,京东云安全也建议受Apache Log4j2漏洞影响的用户尽快采取安全措施阻止漏洞攻击。面对核弹级别的漏洞,Web应用防火墙作为流量防护第一道防线,目前已更新对Apache Log4j 远程命令执行漏洞防护的规则:京东云用户具体操作可参考:在Web应用防火墙侧边栏选择网站配置,选择域名的规则配置,进行Web防护配置。其中正常和严格规则策略等级支持防护Log4j2漏洞。
值得一提的是,云WAF支持拦截Log4j2很多变种payload请求,包括URL、Body、Header。Web应用防火墙守护云上应用与业务安全,规则上线至目前,已拦截数百万次攻击,守护业务覆盖面最广,包括政府、国企、电商、物流、等网站,一键支持应用防护外部攻击,轻松阻挡外部攻击威胁。除0day漏洞更新防护外,Web应用防火墙还可以防护数据泄露、防恶意爬虫、一键支持IPv6、保障业务安全,多地域易接入,为用户提供专业、稳定、可靠的一站式web应用解决方案。现在购买Web应用防火墙可以享受京东云采购季活动4折优惠折扣低至134.6元/月即可享受应用安全服务,https://www.jdcloud.com/cn/activity/20211111。星盾安全加速安全团队第一时间相应,全面支持log4j2漏洞防护,星盾的应用防护引擎,已经全面升级防护规则。从管理员后台可以看出,星盾针对Log4j2漏洞,分别针对Headers、Body、URI给出了三条规则用于防御。这些针对漏洞防护的规则均已经下发到星盾安全加速全国分布式节点。规则位于星盾的托管规则-Specials规则中,使用星盾安全加速产品的用户,访问京东云星盾安全加速控制台,仅需开启默认规则防护,开启Specials规则开关,就可以轻松为站点增加安全性,全面升级针对Log4j2漏洞的防护。同时,星盾近“缘”防护的策略,使得防护效果更高效。现在购买星盾安全加速可以享受京东云采购季活动,购买专业版套餐可以享受1900/月的返现活动,https://www.jdcloud.com/cn/activity/20211111。排查Java应用是否引入log4j-api , log4j-core 两个jar,及/ApacheSolr/Apache Flink/Apache Druid/Apache Dubbo/srping-boot-strater-log4j2等应用和组件,请及时检查所有相关应用升级到最新版本。官方补丁https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc1。2、 紧急缓解措施:
(1) 修改jvm参数 -Dlog4j2.formatMsgNoLookups=true
(2) 修改配置log4j2.formatMsgNoLookups=True
(3) 将系统环境变量
FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为 true
注:修改formatMsgNoLookups需log4j2版本至少不低于2.10版本。
3、jdk升级:
升级jdk版本至6u11 /7u201 / 8u191 / 11.0.1以上版本,可在一定程度上限制JNDI等漏洞利用。官方链接:https://github.com/apache/logging-log4j2/releases/tag/log4j-2.16.0-rc