美国CISA命令联邦机构在12月24日之前修复Log4Shell

近日，美国CISA命令联邦机构在2021年12月24日之前解决Log4j库中的关键Log4Shell漏洞。该命令旨在防止威胁行为者利用该漏洞攻击政府系统。

值得一提，这个漏洞最初是由中国工程师、阿里云安全团队的 Chen Zhaojun 在 11 月下旬发现并提报的。该问题的影响是毁灭性的，全球数以千计的组织将受到攻击，安全专家已经报告了在野外进行的利用企图

详情

12月14日，美国CISA 在已知被利用漏洞目录中添加了13个新漏洞，其中包括Apache Log4Shell Log4j。该列表包括经常被威胁行为者用作攻击媒介的问题，这些问题对联邦企业构成重大风险。美国机构还发布了“Apache Log4j 漏洞指南”，其中包括有关该漏洞的技术细节，并提供和缓解指南。

“CISA 及其合作伙伴通过联合网络防御协作组织，正在跟踪和响应对影响 Apache Log4j 软件库版本 2.0-beta9 至 2.14.1 的关键远程代码执行漏洞 (CVE-2021-44228) 的广泛利用。Log4j 广泛用于各种消费者和企业服务、网站和应用程序以及运营技术产品，以记录安全和性能信息。” 阅读CISA 发布的公告。“CISA 敦促组织查看其 Apache Log4j 漏洞指南网页并升级到 Log4j 版本 2.15.0，或立即应用适当的供应商推荐的缓解措施。”

CISA建议立即采取3项措施：

枚举使用 Log4j 的面向 Internet 的端点

确保 SOC 对受影响设备上的每个警报采取行动

安装自动更新的Web应用程序防火墙

网络安全和基础设施安全局 (@CISAgov) ，2021年12月13日根据BOD 22-01，美国CISA命令联邦文职行政部门机构在 2021 年 12 月 24 日前处理 Log4Shell。 

美国 CISA 建议受影响的实体：

查看 Apache 的 Log4j 安全漏洞页面以获取更多信息。

立即应用可用的补丁。参阅CISA即将推出的GitHub存储库，了解已知受影响的产品和补丁信息。

优先打补丁，从关键任务系统、面向互联网的系统和联网服务器开始。优先修补其他受影响的信息技术和运营技术资产。

在应用补丁之前

log4j2.formatMsgNoLookups

 通过添加

-Dlog4j2.formatMsgNoLookups=True

到用于启动应用程序的 Java 虚拟机命令设置 为 true 。注意：如果系统依赖于消息格式的查找，这可能会影响系统日志记录的行为。此外，此缓解措施仅适用 2.10及更高版本。

如上所述，BOD 22-01指示联邦机构在2021年12月24日之前缓解CVE-2021-44228，作为已知漏洞利用目录的一部分。进行安全审查以确定是否存在安全问题或威胁。使用受影响的 Log4j 版本的任何服务的日志文件将包含用户控制的字符串，立即向CISA和FBI报告妥协。