Apache Log4j2核弹级漏洞来袭！泰岳安全专项漏洞核查利器快速升级排查能力

　　Apache Log4j2刷爆安全圈，泰岳安全迅速提供专项漏洞检测能力，依托产品线资产安全管控雷达系统（Ultra-AMR）与安全基线管理系统（Ultra-BMS）快速、精准排出存在受影响IT资产的范围，进行安全预警，成为用户紧急漏洞专项检测的利器。

　　惊爆Apache Log4j2漏洞！

　　“忽如一夜冬风来，漏洞排查急安排”，曾经刷爆安全圈（Struts2系列漏洞）的Apache软件基金会开源项目叕一次被爆出存在高危漏洞，这次是Log4j2。根据公开的漏洞情报信息，本次Log4j漏洞影响范围为低于2.15.0版本，涉及的代码包为：org.apache.logging.log4j:log4j-api 与 org.apache.logging.log4j:log4j-core。

　　图 一：从GITHUB更新来看，官方维护人员同样措手不及

　　Log4j的各个版本已覆盖于多种流行的开源组件，以致于也被普遍应用于企业级应用系统中，如此广泛的依赖为安全管理员的受影响IT资产范围排查带来不小工作量，整个生态圈甚至存在着多级依赖，Struts2、Druid、Flink等均受影响。可见，单纯的靠安全管理员和软件厂商手工排查已经不再现实。

　　图 二: Log4j2 关联项目图

　　泰岳安全积极响应，快速排查受影响面资产

　　传统的漏洞扫描机制多采用远程扫描探测的方式，优点是部署简单，但是缺点也同样很明显：一是完全依赖工具厂商官方漏洞库的更新，更新周期长，即便更新漏洞库后，又存在扫描检测耗时长的问题，对于企业级成千上万的IT资产范围来讲，容易贻误战机，致使错过漏洞风险排查处置的窗口期；二是传统漏扫工具的漏报率、误报率双高，本意是快速排查风险，却可能忙中添乱。

　　针对上述问题，泰岳安全技术团队针对此次紧急漏洞事件，迅速提供了Log4j2专项漏洞检测的能力，依托产品线 资产安全管控雷达系统（Ultra-AMR）与安全基线管理系统（Ultra-BMS），通过远程登录资产指纹采集、Agent方式资产指纹采集的技术手段，可快速、精准的排查出存在受影响IT资产的范围，进行安全预警，成为用户紧急漏洞专项检测的利器。同时，这两款产品还内置了各类高危的漏洞检测脚本，可实现类似本次Log4j2高危漏洞的快速排查、精准定位。

　　图三 ：资产安全管控雷达系统（Ultra-AMR）- 可以采集和发现资产各类指纹信息，包含WEB中间件、Web开发框架、数据库、安装软件等信息，当发生紧急漏洞时，只需通过查询条件或全文检索即可筛选出受影响的范围

　　图四：Apache Log4j2相应版本已加入漏洞库

　　图五：仅通过页面搜索框检索条件即可进行排查

　　图六：Log4j2组件详情

　　图七：安全基线管理系统（Ultra-BMS） Log4j2漏洞检查发布功能

　　图八：安全基线管理系统（Ultra-BMS） Log4j2漏洞加固建议方案

　　不同于传统漏洞扫描检测机制，资产安全管控雷达系统（Ultra-AMR）与安全基线管理系统（Ultra-BMS）产品能够基于漏洞组件与版本的特征信息进行检测，可有效的提升漏洞检测的准确性和检测效率，非常适用于企业大量IT资产需短时间内得到排查结果的场景，若在前期已进行了一次资产信息指纹采集，还可将资产的漏洞风险排查耗时降到秒级。最后按照维度、地理位置、端口服务、具体IT资产生成检查报表，展现漏洞分布情况、漏洞数量排名、漏洞严重级别统计排名、漏洞信息明细等。

　　应急处置建议

　　紧急情况下若暂不具备修补应用系统的条件，可采用以下临时技术手段进行风险规避：

　　WAF中添加临时阻断规则

　　新建log4j2.component.properties配置文件，新加配置：log4j2.formatMsgNoLookups=true

　　在应用系统中禁用JNDI（需要确认是否有业务在使用JNDI）

　　如非业务需要，关闭受影响IT资产的互联网访问

神州泰岳股票行情：

● 短期趋势：该股进入多头行情中，股价短线上涨概率较大。

● 中期趋势：下跌有所减缓，仍应保持谨慎。

● 长期趋势：迄今为止，共9家主力机构，持仓量总计1.11亿股，占流通A股6.62%