9日夜間，Apache Log4j2引發嚴重安全漏洞，疑似很多公司的服務器被掃描攻擊，一大批安全人員深夜修bug，堪稱“核彈級”漏洞。

經專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多余操作即可觸發該漏洞，使攻擊者可以遠程控制用戶受害者服務器，90%以上基于java開發的應用平臺都會受到影響。

log4j是Apache的一個開源項目，是一個基于Java的日志記錄框架。Log4j2是log4j的后繼者，被大量用于業務系統開發，記錄日志信息。很多互聯網公司以及耳熟能詳的公司的系統都在使用該框架。

此次受到攻擊行為的客戶分布非常廣泛，IT通信（互聯網）、高校、工業制造、金融、政府、醫療衛生、運營商等幾乎所有行業都受到波及，全球知名科技公司、電商網站等也未能幸免。其波及面和威脅程度，均堪比2017年的“永恒之藍”。  

山東維平從專業角度出發，分析該漏洞危害，并給出解決方案來精準防護該漏洞：

漏洞概述

Apache Log4j2 是一款開源的 Java 日志記錄工具，大量的業務框架都使用了該組件。此次漏洞是用于 Log4j2 提供的 lookup 功能造成的，該功能允許開發者通過一些協議去讀取相應環境中的配置。但在實現的過程中，并未對輸入進行嚴格的判斷，從而造成漏洞的發生。漏洞利用無需特殊配置，經過分析和確認，Spring boot、Apache Struts2、ElasticSearch、Apache Solr、Apache Druid、Apache Flink、ElasticSearch等均受影響。

漏洞危害

由于Apache Log4j2某些功能存在遞歸解析功能，攻擊者可直接構造惡意請求，觸發遠程代碼執行漏洞。該漏洞觸發通過 info、warn、error 都能做到，并且只需要部分日志內容可控就能觸發，所以影響非常嚴重，并且大量在使用的開源組件也在使用，根據友商發布的一些信息，目前已經包括但不僅限于 SpringBoot、Apache Solr、Apache Flink 等。該漏洞只要外部用戶輸入的數據如果被日志記錄，即可觸發導致遠程代碼執行，成功利用該漏洞的攻擊者可以在目標設備上遠程執行惡意代碼。

漏洞評估

公開程度：漏洞細節已紕漏

利用條件：無權限要求

交互要求：0 click

漏洞危害：高危、遠程代碼執行

影響范圍：Log4j2.x <= 2.14.1

安全建議

（1）緊急緩解措施：

① 修改jvm參數 -Dlog4j2.formatMsgNoLookups=true    

② 修改配置log4j2.formatMsgNoLookups=True

③將系統環境變量FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設置為 true

（2）檢測方案：

①由于攻擊者在攻擊過程中可能使用 DNSLog 進行漏洞探測，建議企業可以通過流量監測設備監控是否有相關 DNSLog 域名的請求。

②排查應用是否引入了Apache Log4j2 Jar包，若存在依賴引入，則可能存在漏洞影響。

③建議企業通過監測相關流量或者日志中是否存在“jndi:ldap://”、“jndi:rmi”等字符來發現可能存在的攻擊行為。

（3）修復方案：

檢查所有使用了 Log4j2 組件的系統，官方修復鏈接如下：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2