Apache Log4j2是一个基于Java的日志记录工具，是Log4j的升级，目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发，用来记录日志信息。

【漏洞描述】

经确认Apache Log4j2 存在远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置，攻击者可直接构造恶意请求，触发远程代码执行漏洞。经多方验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

【漏洞详情】

12月9日，网御星云安全应急响应中心监测到网上披露Apache Log4j2 存在远程代码执行漏洞，该漏洞是由于Apache Log4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特定恶意数据包，可在目标服务器上执行任意代码。

【影响版本】

受影响的版本：

ApacheLog4j 2.x <= 2.14.1

【修复建议】

1.升级版本

目前官方已经修复该漏洞，建议受影响产品尽快升级Apache Log4j2所有相关应用到最新的log4j-2.15.0-rc2 版本：https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2.临时方案

Ø 建议JDK使用6u211、7u201、8u191、11.0.1及以上的版本；

Ø 添加jvm启动参数:-Dlog4j2.formatMsgNoLookups=true；

Ø 添加log4j2.component.properties配置文件，增加如下内容为：log4j2.formatMsgNoLookups=true；

Ø 系统环境变量中将FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS设置为true；

Ø 禁止安装log4j的服务器访问外网，并在边界对dnslog相关域名访问进行检测。

3.人工排查

Ø 相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构，判断是否使用了存在漏洞的组件，若存在相关Java程序包，则很可能存在该漏洞。

Ø 若程序使用Maven打包，查看项目的pom.xml文件中是否存在下图所示的相关字段，若版本号为小于2.15.0，则存在该漏洞。

Ø 若程序使用gradle打包，可查看build.gradle编译配置文件，若在dependencies部分存在org.apache.logging.log4j相关字段，且版本号为小于2.15.0，则存在该漏洞。

网御星云检测与防护类产品解决方案

1.网御星云入侵防护系统

网御星云入侵防护系统已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测和防护。

2.网御星云Web应用安全防护系统

网御星云Web应用安全防护系统已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测和防护。

3.网御星云入侵检测系统

网御星云入侵检测系统已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测。

4.网御星云超融合检测探针

网御星云超融合检测探针已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测。

5.网御星云威胁分析一体机

网御星云威胁分析一体机已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测。

6.网御星云高级持续性威胁检测与管理系统

网御星云高级持续性威胁检测与管理系统已经发布紧急特征库升级包，可在线升级或离线升级，即可对此攻击进行检测。

网御星云防火墙、网关产品解决方案

1.产品升级提示

请尽快更新已部署网御星云FW、UTM产品上的入侵防护（IPS）特征，此次Apache Log4j2 远程代码执行漏洞的特征升级包为：

IPS.patch.1298.pkg（3609）、IPS.patch.2298.pkg（3611）和IPS.patch.3298.pkg（3612）

在网御星云FW、UTM上应用最新的入侵防护规则，即可有效检测并阻断基于Apache Log4j2远程代码执行漏洞的攻击。

2.网御星云FW、UTM系统事件告警截图：