最近幾天對于很多開發者而言，只能用爭分奪秒與膽戰心驚來形容。而造成這一切的源頭，來自于被公布的 Apache Log4j2 遠程代碼執行漏洞（CNVD-2021-95914）。當前幾乎所有技術巨頭都在使用該開源組件，其危害將帶來一連串連鎖反應。據行業機構不完全統計，該漏洞影響 6w+ 流行開源軟件，影響 70% 以上的企業線上業務系統！漏洞波及面、危害程度均堪比 2017 年的讓數百萬臺主機面臨被勒索病毒攻擊的風險的“永恒之藍”漏洞。

漏洞解析

Apache Log4j RCE 漏洞造成如此大影響的原因，不僅在于其易于利用，更在于其巨大的潛在危害性。此次危機由 Lookup 功能引發，Log4j2 在默認情況下會開啟 Lookup 功能，提供給客戶另一種添加特殊值到日志中的方式。此功能中也包含了對于 JNDI 的 Lookup，但由于 Lookup 對于加載的 JNDI 內容未做任何限制，使得攻擊者可以通過 JNDI 注入實現遠程加載惡意類到應用中，從而造成 RCE。

據悉，Apache Log4j 2.x <= 2.14.1 版本均回會受到影響。可能的受影響應用包括但不限于：Spring-Boot-strater-log4j2、Apache Struts2、Apache Solr、Apache Flink、Apache Druid、Elasticsearch、Flume、Dubbo、Redis、Logstash、Kafka 等。直接應用了 Log4j-core 的依賴中，就包含了 SpringBoot、JBoss、Solr 等流行框架。漏洞幾乎影響所有使用 Log4j2 2.15.0 的用戶，包含 2.15.0-rc1 也已經有繞過手法流出。

僅需四步，借助阿里云 ARMS 應用安全，全面攔截 Log4j2 漏洞攻擊

此次 Log4j2 漏洞，作為一款日志框架，相比起記錄日志等類型的正常行為，進行命令注入、執行，本身就是明顯異常行為。

RASP 在默認規則下，會攔截掉所有因反序列、JNDI 注入導致的命令執行、任意文件讀取、惡意文件上傳等危險行為。不同于傳統基于流量特征的防御方式，RASP（Runtime Application Self-Protection）基于行為和應用運行時上下文，不會陷入特征窮舉并更加關注「正常基線」。即應用的正常使用行為有哪些，如果這個行為（如命令執行）不屬于該功能的正常操作，則會進行攔截。

此次漏洞，系 Log4j2 的 JNDI 功能造成的命令執行漏洞，處在 RASP 覆蓋場景之中，無需新增規則也能默認防御。因此，ARMS 應用安全基于阿里云 RASP 技術針對上述漏洞進行攻擊防護。

1、登錄阿里云?ARMS 控制臺

說明：阿里云 ARMS 探針版本容器服務應用 / EDAS 應用等自動升級場景 >=2.7.1.2，其他場景(手動升級)>=2.7.1.3。應用首次開啟接入ARMS應用安全，需要重啟應用實例。

2、在左側導航欄，選擇應用?> 攻擊統計頁面

當受到 Log4j2 遠程代碼執行漏洞攻擊時，ARMS 應用安全會識別上報攻擊行為事件。還可通過配置告警規則，通過短信、釘釘、郵件等渠道接收攻擊告警通知。默認防護模式為監控模式，建議觀察一段時間后調整防護設置為監控并阻斷，一旦發生攻擊行為可以直接阻斷，保障應用安全運行。

3、在左側導航欄，選擇應用安全?>?危險組件檢測，針對三方組件以來自動分析關聯 CVE 漏洞庫并提供修復建議

4、危險組件全量自查，通過搜索查看所有接入應用是否包含 Log4j 組件，并確定組件版本

修復升級與建議

（1）排查應用是否引入了 Apache Log4j-core Jar 包，若存在依賴引入，且在受影響版本范圍內，則可能存在漏洞影響。請盡快升級 Apache Log4j2 所有相關應用到最新的 Log4j-2.15.0-rc2 版本。

地址：??https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2??

（2）升級已知受影響的應用及組件，如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink。

（3）可升級 jdk 版本至 6u211 / 7u201 / 8u191 / 11.0.1 以上，可以在一定程度上限制 JNDI 等漏洞利用方式。

（4）盡可能杜絕對外開放端口，加強應用的證書驗證管控，最大可能減少外網攻擊面。

（5）在外網開啟 Web 應用防火墻 +RASP 組合，采取行為和應用運行時上下文防御策略。

（6）安全配置評估中，嚴格控制開源軟件安全，并自建內部安全版本庫，及時更新。

（7）建立多層檢測防御體系，采用內網多層隔離，并全面提升威脅檢測能力。

點擊??此處??，查看更多應用安全相關信息！

總結

以上是生活随笔為你收集整理的如何强化应用安全能力，全面拦截 Log4j 漏洞攻击的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。