近日，澳门威斯人0168安全威胁情报中心监测到Apache Log4j2被曝存在远程代码执行漏洞，漏洞利用成功将导致用户应用系统及服务器系统被控制。

一、漏洞描述

Apache Log4j2是一个基于Java的日志记录工具，是Log4j的升级，在其前身Log4j 1.x基础上提供了Logback中可用的很多优化，同时修复了Logback架构中的一些问题，是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发，用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。

由于Apache Log4j 2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。触发条件为只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

二、影响范围

Apache Log4j 2.x <= 2.14.1

三、安全防范建议

澳门威斯人0168提醒各相关单位和用户要强化风险意识，切实加强安全防范：

1、目前海峡态势感知、防火墙、IPS等安全设备规则已支持该漏洞攻击及相关漏洞的检测，请相关用户及时升级设备安全规则，相关特征库已发布到官网/Technical/upgrade.html

2、建议排查Java应用是否引入log4j-api , log4j-core 两个jar，若存在使用，极大可能会受到影响，如图：

1、升级官方补丁（若有更新版本建议升级到最新），见
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

2、临时解决方案
设置jvm参数 “-Dlog4j2.formatMsgNoLookups=true”，
设置“log4j2.formatMsgNoLookups=True”，
将系统环境变量“FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS”设置为“true”，
关闭相关应用的网络外连，禁止主动外连。