Apache Log4j2 丨阿裡雲「流量+應用+主機」三重檢測防護指南

2021年12月10日，國家資訊安全漏洞共享平台（CNVD）收錄了Apache Log4j2遠端代碼執行漏洞（CNVD-2021-95914），此漏洞是一個基于Java的日志記錄工具，為Log4j的更新。作為目前最優秀的Java日志架構之一，被大量用于業務系統開發。

漏洞情況

此次危機由Lookup功能引發，Log4j2在預設情況下會開啟Lookup功能，提供給客戶另一種添加特殊值到日志中的方式。此功能中也包含了對于JNDI的Lookup，但由于Lookup對于加載的JNDI内容未做任何限制，使得攻擊者可以通過JNDI注入實作遠端加載惡意類到應用中，進而造成RCE。

影響範圍

Log4j2做為apache推出的一款主流日志架構，使用範圍廣大，經阿裡雲安全團隊驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

單從Maven倉庫中看，存在漏洞的Log4j-core的直接應用就高達将近七千：

而在直接應用了Log4j-core的依賴中，就包含了SpringBoot、JBoss、Solr等十分流行的架構，

漏洞幾乎影響所有使用Log4j2 2.15.0的使用者，包含2.15.0-rc1也已經有繞過手法流出。

針對此漏洞，阿裡雲快速響應，已更新各安全産品規格，實作流量+應用+主機側的全面防禦，阿裡雲安全也建議Apache Log4j2使用者盡快采取安全措施阻止漏洞攻擊。

雲上流量檢測雙重防護：

第一重：Web應用防火牆規則更新

面對漏洞的來勢洶洶，Web應用防火牆作為流量防控先鋒軍，在原有規則上已具備JNDI注入防護能力，目前已更新對Apache Log4j 2.x的JNDI注入利用的增強防護規則：

（圖：阿裡雲Web應用防火牆規則更新情況）

第二重：雲防火牆雙向攔截

阿裡雲雲防火牆也已完成規則更新，可對利用Apache Log4j2 遠端代碼執行漏洞發起的dnslog通路、反彈shell、jndi注入等攻擊，以及此漏洞的探測結果外聯行為等實時檢測，并及時進行攔截。

使用者可按如下步驟進行檢測防禦：

1.雲上客戶可以通過【雲防火牆->攻擊防護->防護配置->威脅引擎運作模式】一鍵開啟攔截模式，開啟後雲防火牆将自動攔截攻擊行為。

2.虛拟更新檔能有效的幫助企業使用者争取漏洞修複時間，避免應用程式的修複重新開機給業務帶來不必要的風險與中斷，通過【虛拟更新檔->自定義選擇】可以檢視目前虛拟更新檔類型、明細和目前動作。

3.入侵防禦界面通過對攻擊聚類，實時顯示攻擊來源、攻擊分布、阻斷目的/來源TOP資訊，友善進行溯源分析、事件排查和應急防禦。

阿裡雲雲上RASP天然防護

不同于傳統基于流量特征的防禦方式，RASP（Runtime Application Self-Protection）作為一款基于行為和應用運作時上下文的防禦産品，不會陷入特征窮舉，而更加關注「正常基線」，即一個應用的正常使用行為有哪些，如果這個行為（如指令執行）不屬于該功能的正常操作，則會進行攔截。

而此次的Log4j2漏洞，作為一款日志架構，相比起記錄日志等類型的正常行為，進行指令注入、執行，本身就是一個明顯的異常行為。RASP在預設規則下，會攔截掉所有因反序列、JNDI注入導緻的指令執行、任意檔案讀取、惡意檔案上傳等危險行為。此次漏洞，系Log4j2的JNDI功能造成的指令執行漏洞，完全處在RASP覆寫場景之中，無需新增規則也能預設防禦。

使用者可按如下步驟完成檢測防禦：

1、登入ARMS控制台；

說明：探針版本要求>=2.7.1.3，應用首次開啟接入ARMS應用安全，需要重新開機應用執行個體才會生效

2、在左側導航欄，選擇應用安全 > 攻擊統計頁面：

（圖：阿裡雲RASP成功捕獲到Log4j2漏洞利用與探測行為）

當受到Log4j2遠端代碼執行漏洞攻擊時，ARMS應用安全會識别上報攻擊行為事件，客戶還可以通過配置告警規則，通過短信、釘釘、郵件等管道接收攻擊告警通知。

3、危險元件自動檢測：在左側導航欄，選擇應用安全 > 危險元件檢測，針對三方元件依賴自動分析關聯CVE漏洞庫并提供修複建議。

4、危險元件全量自查，使用者可通過搜尋檢視所有接入應用是否包含Log4j元件，并确定Log4j元件的版本

（圖：阿裡雲RASP在元件中發現Log4j元件）

如需更多資訊，可檢視：ARMS應用安全接入幫助（

https://help.aliyun.com/document_detail/315397.html

）

此外，阿裡雲雲盾WAF提供7天免費漏洞應急服務，為使用者争取漏洞修複時間，應急開通位址：

https://c.tb.cn/I3.XzCtR

雲安全中心一鍵漏洞檢測

在流量側進行的漏洞發現與阻斷防禦，都是為最終修複漏洞争取寶貴的時間。阿裡雲雲安全中心應用漏洞子產品已支援一鍵檢測：

阿裡雲安全建議

修複更新

1. 排查應用是否引入了Apache Log4j-core Jar包，若存在依賴引入，且在受影響版本範圍内，則可能存在漏洞影響。請盡快更新Apache Log4j2所有相關應用到最新的 Log4j-2.15.0-rc2 版本，位址： https://github.com/apache/Logging-Log4j2/releases/tag/Log4j-2.15.0-rc2
2. 更新已知受影響的應用及元件，如 spring-boot-starter-Log4j2/Apache Struts2/Apache Solr/Apache Druid/Apache Flink
3. 可更新jdk版本至6u211 / 7u201 / 8u191 / 11.0.1以上，可以在一定程度上限制JNDI等漏洞利用方式。

安全建設

1. 盡可能杜絕對外開放端口，加強對企業内部應用的證書驗證管控，最大可能減少外網攻擊面；
2. 在外網開啟Web應用防火牆+RASP組合，采取基于行為和應用運作時上下文的防禦産品；
3. 在安全配置評估中，嚴格控制開源軟體安全，并自建内部安全版本庫，及時更新；
4. 建立多層檢測防禦體系，采用内網多層隔離，并全面提升威脅檢測能力。