紧急！Apache Log4j2 远程代码执行漏洞影响严重 山石网科已支持检测和拦截

---

Apache Log4j2是一个Java日志框架，2021年12月9日，官方发布补丁，修复了一个代码执行漏洞。

 

Apache Log4j2中提供了Lookups机制，用于添加一些特殊值到日志中。由于解析顺序不当，导致攻击者可通过恶意请求，触发远程代码执行漏洞。漏洞PoC已在网上公开，默认配置即可进行利用，山石网科安全专家已第一时间对该漏洞进行了复现。

 

该漏洞影响范围极广，已出现在野利用，请相关用户尽快采取措施进行排查与防护。

漏洞详情

漏洞名称: Apache Log4j2远程代码执行漏洞

漏洞类型: 远程代码执行

组件名称: Apache Log4j2

影响版本: 2.0 <= Apache Log4j <= 2.15.0-rc1

漏洞等级: 严重

 

漏洞修复或缓解建议

1)Apache官方已发布补丁，山石网科安全专家建议受影响的用户尽快升级到安全版本。

补丁下载地址：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

 

2)升级已知受影响的应用及组件，如srping-boot-strater-log4j2/Apache Solr/Apache Flink/Apache Druid

缓解措施：

(1). jvm参数  -Dlog4j2.formatMsgNoLookups=true

(2). log4j2.formatMsgNoLookups=True

(3).系统环境变量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 设置为true

(4).关闭对应应用的网络外连，禁止服务器主动外连。（可通过安全设备设置，更新防御规则。）

 

山石网科解决方案

山石网科下一代防火墙、山石网科入侵检测与防御系统、山石网科Web应用防火墙、山石智源智能安全运营系统、山石智感内网威胁感知系统均已支持检测或拦截利用Apache Log4j2远程代码执行漏洞的攻击活动，山石云瞻威胁情报中心也已推送此情报，帮助用户提前进行检测与防御。

 

山石网科下一代防火墙：

IPS特征库版本：2.1.434/3.0.86

对应特征：334364/334337和334338

山石网科入侵检测与防御系统、山石智源智能安全运营系统、山石智感内网威胁感知系统使用同版本IPS特征库。

（注意：以上产品需要升级基础平台到5.5R6及以后版本）

 

山石网科WEB应用防火墙：

WAF特征库版本：1.1.130

对应特征ID：1070310151

山石云鉴主机安全管理系统:

山石云鉴主机安全管理系统支持检测并阻止利用Apache Log4j2远程代码执行漏洞的攻击行为，建议开启云鉴安全策略中的WebShell防护。

山石云瞻威胁情报中心:

山石云瞻威胁情报中心已推送热点情报，帮助用户开启对应防御规则。

请利用在线升级或离线升级的方式尽快升级特征库，离线库下载地址：

https://update1.hillstonenet.com

 

山石安服36.7°C 贴心服务：

山石网科安全服务团队，在漏洞爆发时，安全专家立即对用户网络环节进行漏洞扫描，对漏洞进行复现和排查，并为用户提供远程或现场服务，提供通告报告，确保用户防护设备可以防护此漏洞风险。山石网科安全服务团队可以提供安全评估服务、应急保障服务、安全通告服务、安全培训服务、威胁检测订阅服务等覆盖客户需求全方位安全服务体系。

如有问题请尽快联系山石网科

联系电话：400-828-6655

技术支持邮箱：tac@hillstonenet.com

更多信息：https://www.hillstonenet.com.cn/aboutus/contact-us/

山石网科硬件防火墙、入侵检测防御系统、Web应用防火墙、智源智能安全运营系统、内网威胁感知系统、云鉴主机安全管理系统、山石网科应用交付AX系列等产品全部型号均不受此漏洞影响，请用户放心使用。