近日,華為云安全團隊關(guān)注到Apache Log4j2 的遠程代碼執(zhí)行最新漏洞���。
近日�����,華為云安全團隊關(guān)注到Apache Log4j2 的遠程代碼執(zhí)行最新漏洞��。
Apache
Log4j2是一款業(yè)界廣泛使用的基于Java的日志工具��,該組件使用范圍廣泛��,利用門檻低���,漏洞危害極大。華為云安全在第一時間檢測到漏洞狀況并在官網(wǎng)發(fā)布相關(guān)公告��,在此提醒使用Apache
Log4j2的用戶盡快安排自檢并做好安全防護����。
Apache
Log4j2是一款業(yè)界廣泛使用的基于Java的日志記錄工具。此次曝出的漏洞�,利用門檻低,漏洞危害極大�����,威脅級別定義為嚴重級。此漏洞存在于Apache Log4j
2.x到 2.15.0-rc1多個版本��,已知受影響的應(yīng)用及組件包括spring-boot-starter-log4j2 / Apache Solr /
Apache Flink / Apache Druid等��。
華為云安全在第一時間提供了對該漏洞的防護�����。僅僅過去數(shù)小時�����,華為云WAF就在現(xiàn)網(wǎng)中攔截了Apache Log4j2
遠程代碼執(zhí)行漏洞的大量變形攻擊��,通過分析發(fā)現(xiàn)攻擊者正在不斷嘗試新的攻擊方法���,當前已識別到10+種試圖取得服務(wù)器控制權(quán)的變形攻擊。鑒于此漏洞威脅級別高��,而且出現(xiàn)大量變形攻擊�,因此華為云安全團隊提醒客戶及時進行檢測、采取處置措施和開啟防護服務(wù)���。
漏洞處置
1. 盡快升級至Apache
log4j-2.15.0-rc2官方正式版����,Apache官方已發(fā)布補丁,下載地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
2. 對于無法短時間升級新版本的情況�����,建議采取如下措施來緩解:
(優(yōu)先) 添加以下JVM啟動參數(shù)來禁止解析JDNI�,重啟服務(wù),jvm參數(shù) -Dlog4j2.formatMsgNoLookups=true
log4j2配置中設(shè)置log4j2.formatMsgNoLookups=True 禁止解析JDNI
系統(tǒng)環(huán)境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS 設(shè)置為true
確保使用高版本JDK�����,如JDK8u191默認限制遠程加載惡意類(只能增加漏洞利用難度�,不能杜絕)
禁止沒有必要的業(yè)務(wù)訪問外網(wǎng)
開啟防護服務(wù),主動檢測和動態(tài)防護
華為云安全持續(xù)監(jiān)測此漏洞及其變種攻擊�,建議開啟相關(guān)安全防護服務(wù),主動掃描防護利用此漏洞進行的惡意攻擊:
1. 開啟華為云WAF的基礎(chǔ)防護功能(WAF標準版����、專業(yè)版或鉑金版),檢測和攔截各種變形攻擊�,您可免費申請1個月標準版試用。
產(chǎn)品頁:
https://www.huaweicloud.com/product/waf.html
掃碼進入產(chǎn)品頁
↓↓↓
在華為云WAF控制臺�����,防護策略->Web基礎(chǔ)防護,開啟狀態(tài)����,設(shè)置攔截模式,開啟華為云WAF的Web基礎(chǔ)防護功能���。
2. 開啟華為云CFW的基礎(chǔ)防御功能(基礎(chǔ)版)���,檢測和攔截各種變形攻擊。
產(chǎn)品頁:
https://www.huaweicloud.com/product/cfw.html
掃碼進入產(chǎn)品頁
↓↓↓
在華為云CFW控制臺�,入侵防御->防御策略設(shè)置頁面,打開基礎(chǔ)防御功能開關(guān)���,并啟動攔截模式。
3����、華為云漏洞掃描服務(wù)VSS第一時間提供了對該漏洞的檢測能力。
開啟華為云VSS的漏洞掃描功能(免費開通基礎(chǔ)版����,或購買專業(yè)版����、高級版����、企業(yè)版),檢測網(wǎng)站及主機資產(chǎn)是否存在該漏洞�����,主動識別安全風險�����。
產(chǎn)品頁:
https://www.huaweicloud.com/product/vss.html
掃碼進入產(chǎn)品頁
↓↓↓
在華為云VSS控制臺�����,資產(chǎn)列表->網(wǎng)站->新增域名�,資產(chǎn)列表->主機->添加主機,啟動掃描�,等待任務(wù)結(jié)束,查看掃描報告��。
華為云安全
繼承華為30多年的安全積累�,華為云構(gòu)筑的原生冰山安全體系和責任共擔模型���,為客戶提供可信、極簡����、智能的云安全平臺和服務(wù),服務(wù)于包括華為流程與IT��,消費者云及政企���、電商���、金融、互聯(lián)網(wǎng)等行業(yè)客戶�����。
【卓越能力】20+自主研發(fā)的云安全服務(wù)和300+伙伴安全服務(wù)���,從保護云工作負載,保護應(yīng)用服務(wù)�����,保護數(shù)據(jù)資產(chǎn),管理安全態(tài)勢到幫助合規(guī)上云方面�,幫助客戶構(gòu)建立體云安全防護。
【全球合規(guī)】全球累計獲得100+安全合規(guī)認證���,如PCI 3DS����,TISAX����,ISO 27799, ISO/IEC
27701����,ISO/IEC 27034,CSA STAR V4�����,SOC 2 Type2��,德國C5等���,滿足全球客戶業(yè)務(wù)合規(guī)和隱私保護要求�。
【產(chǎn)業(yè)共享】參與和主導制定10+云安全相關(guān)標準,輸出30+安全白皮書����,向產(chǎn)業(yè)和客戶共享華為安全優(yōu)秀實踐經(jīng)驗。
【安全保障】專業(yè)的安全運營團隊�,7*24小時安全保障體系,防御針對云平臺的攻擊����,實現(xiàn)99.99%的安全事件自動響應(yīng),讓企業(yè)上云安全無憂�����。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺����。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的,皆為無意���。如您是字體廠商���、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們�,本站核實后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的����,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索��,將不予任何的法律和經(jīng)濟賠償�����!敬請諒解�!
粵公網(wǎng)安備 44030402000264號