Apache Log4j2是一款業(yè)界廣泛使用的基于Java的日志工具，該組件使用范圍廣泛，利用門(mén)檻低，漏洞危害極大。華為云安全在第一時(shí)間檢測到漏洞狀況并在官網(wǎng)發(fā)布相關(guān)公告，在此提醒使用Apache Log4j2的用戶(hù)盡快安排自檢并做好安全防護。

　　https://www.huaweicloud.com/notice/2021/20211210001621800.html

　　掃碼查看

　　Apache Log4j2是一款業(yè)界廣泛使用的基于Java的日志記錄工具。此次曝出的漏洞，利用門(mén)檻低，漏洞危害極大，威脅級別定義為嚴重級。此漏洞存在于A(yíng)pache Log4j 2.x到 2.15.0-rc1多個(gè)版本，已知受影響的應用及組件包括spring-boot-starter-log4j2 / Apache Solr / Apache Flink / Apache Druid等。

　　華為云安全在第一時(shí)間提供了對該漏洞的防護。僅僅過(guò)去數小時(shí)，華為云WAF就在現網(wǎng)中攔截了Apache Log4j2 遠程代碼執行漏洞的大量變形攻擊，通過(guò)分析發(fā)現攻擊者正在不斷嘗試新的攻擊方法，當前已識別到10+種試圖取得服務(wù)器控制權的變形攻擊。鑒于此漏洞威脅級別高，而且出現大量變形攻擊，因此華為云安全團隊提醒客戶(hù)及時(shí)進(jìn)行檢測、采取處置措施和開(kāi)啟防護服務(wù)。

　　1. 盡快升級至Apache log4j-2.15.0-rc2官方正式版，Apache官方已發(fā)布補丁，下載地址：

　　https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

　　2. 對于無(wú)法短時(shí)間升級新版本的情況，建議采取如下措施來(lái)緩解：

　　(優(yōu)先) 添加以下JVM啟動(dòng)參數來(lái)禁止解析JDNI，重啟服務(wù)，jvm參數 -Dlog4j2.formatMsgNoLookups=true

　　log4j2配置中設置log4j2.formatMsgNoLookups=True 禁止解析JDNI

　　系統環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為true

　　確保使用高版本JDK，如JDK8u191默認限制遠程加載惡意類(lèi)(只能增加漏洞利用難度，不能杜絕)

　　禁止沒(méi)有必要的業(yè)務(wù)訪(fǎng)問(wèn)外網(wǎng)

　　開(kāi)啟防護服務(wù)，主動(dòng)檢測和動(dòng)態(tài)防護

　　華為云安全持續監測此漏洞及其變種攻擊，建議開(kāi)啟相關(guān)安全防護服務(wù)，主動(dòng)掃描防護利用此漏洞進(jìn)行的惡意攻擊：

　　1. 開(kāi)啟華為云WAF的基礎防護功能（WAF標準版、專(zhuān)業(yè)版或鉑金版），檢測和攔截各種變形攻擊，您可免費申請1個(gè)月標準版試用。

　　https://www.huaweicloud.com/product/waf.html

　　掃碼進(jìn)入產(chǎn)品頁(yè)

　

　　在華為云WAF控制臺，防護策略->Web基礎防護，開(kāi)啟狀態(tài)，設置攔截模式，開(kāi)啟華為云WAF的Web基礎防護功能。

　　2. 開(kāi)啟華為云CFW的基礎防御功能（基礎版），檢測和攔截各種變形攻擊。

　　https://www.huaweicloud.com/product/cfw.html

　　掃碼進(jìn)入產(chǎn)品頁(yè)

　　在華為云CFW控制臺，入侵防御->防御策略設置頁(yè)面，打開(kāi)基礎防御功能開(kāi)關(guān)，并啟動(dòng)攔截模式。

　　3、華為云漏洞掃描服務(wù)VSS第一時(shí)間提供了對該漏洞的檢測能力。

　　開(kāi)啟華為云VSS的漏洞掃描功能（免費開(kāi)通基礎版，或購買(mǎi)專(zhuān)業(yè)版、高級版、企業(yè)版），檢測網(wǎng)站及主機資產(chǎn)是否存在該漏洞，主動(dòng)識別安全風(fēng)險。

　　https://www.huaweicloud.com/product/vss.html

　　掃碼進(jìn)入產(chǎn)品頁(yè)

　　在華為云VSS控制臺，資產(chǎn)列表->網(wǎng)站->新增域名，資產(chǎn)列表->主機->添加主機，啟動(dòng)掃描，等待任務(wù)結束，查看掃描報告。

　　繼承華為30多年的安全積累，華為云構筑的原生冰山安全體系和責任共擔模型，為客戶(hù)提供可信、極簡(jiǎn)、智能的云安全平臺和服務(wù)，服務(wù)于包括華為流程與IT，消費者云及政企、電商、金融、互聯(lián)網(wǎng)等行業(yè)客戶(hù)。

　　【卓越能力】20+自主研發(fā)的云安全服務(wù)和300+伙伴安全服務(wù)，從保護云工作負載，保護應用服務(wù)，保護數據資產(chǎn)，管理安全態(tài)勢到幫助合規上云方面，幫助客戶(hù)構建立體云安全防護。

　　【全球合規】全球累計獲得100+安全合規認證，如PCI 3DS，TISAX，ISO 27799， ISO/IEC 27701，ISO/IEC 27034，CSA STAR V4，SOC 2 Type2，德國C5等，滿(mǎn)足全球客戶(hù)業(yè)務(wù)合規和隱私保護要求。

　　【產(chǎn)業(yè)共享】參與和主導制定10+云安全相關(guān)標準，輸出30+安全白皮書(shū)，向產(chǎn)業(yè)和客戶(hù)共享華為安全優(yōu)秀實(shí)踐經(jīng)驗。

　　【安全保障】專(zhuān)業(yè)的安全運營(yíng)團隊，7*24小時(shí)安全保障體系，防御針對云平臺的攻擊，實(shí)現99.99%的安全事件自動(dòng)響應，讓企業(yè)上云安全無(wú)憂(yōu)。