防范 Apache Log4j2 漏洞 (CVE-2021-44228)

请注意： 自本博客首次发布以来，F5 已审查了后续的 CVE（CVE-2021-45046、CVE-2021-4104 和 CVE-2021-45105），并确定下面描述的保护机制对这些漏洞也有效。

自 12 月 9 日爆发以来，世界各地的安全团队一直在夜以继日地工作，以了解 Apache Log4j2安全漏洞(CVE-2021-44228) 所带来的威胁、确定其暴露情况并采取缓解措施。 很多 有 到过 关于该漏洞的说明，也称为 Log4Shell，但简而言之，这是一个远程代码执行漏洞，这意味着攻击者可以向存在漏洞的应用发送特定数据来触发一系列操作，导致目标应用受到威胁。 攻击者可以通过多种方式利用这一点，例如，安装加密货币挖掘器或从应用中提取敏感数据。

漏洞、利用、缓解和补救始终会造成破坏，F5 的使命是尽我们所能为客户提供专业知识和支持。 F5 的各个团队一直在积极开发工具和指导，以帮助已经负担过重的应用和安全团队减轻这一重大的行业威胁。

我们已经评估了我们的 F5 产品和服务，根据当前信息确定 BIG-IP、NGINX、Silverline、Volterra 和 Threat Stack 产品不易受到这些问题的影响。 对于 F5 托管服务，我们已经通过正常沟通渠道联系客户。 我们在 AskF5 上的安全公告将始终包含有关我们的产品和 Log4j 漏洞缓解措施的最新信息：

• K19026212： Apache Log4j2 远程代码执行漏洞 CVE-2021-44228
• K24554520： Apache Log4j 远程代码执行漏洞 CVE-2021-4104
• K32171392： Apache Log4j2 漏洞 CVE-2021-45046
• K34162192： Apache Log4j2 拒绝服务漏洞 CVE-2021-45105

利用 F5 产品和服务来缓解 Log4j 漏洞是一种快速有效的方法，可以缓解这些 CVE 对您的环境造成的风险。 为了长期补救，我们敦促我们的客户及其开发团队从应用中升级或删除（如果不再需要）任何易受攻击的 Log4j 库。

您将在下文中找到有关我们如何通过整个产品和服务组合中的全面且响应迅速的安全解决方案提供支持的更详细信息。

F5 安全事件响应团队 (SIRT)

如果您受到攻击或担心漏洞暴露，请联系 F5 支持并请求升级至F5 SIRT 。 该团队全天候提供各方面的指导，从 F5 软件和系统修补到配置和 iRule 协助，以减轻攻击或漏洞暴露。

BIG-IP Advanced WAF（API 安全 - 新一代 WAF）

F5 发布了针对 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）和 ASM 的一组签名，用于阻止已知的 Log4j 漏洞攻击媒介。 截至撰写本文时，F5 威胁研究团队共提供了 9 个签名，其中两个是在 CVE 首次发布后数小时内提供的。 我们正在不断更新签名以增强对绕过尝试的保护，因此请确保您拥有最新的攻击签名更新 (ASU) 包。

您可以在此安全公告中了解有关如何通过现有的 BIG-IPAdvanced WAF（API 安全 - 新一代 WAF） （或 ASM）策略缓解这些漏洞的更多信息。

BIG-IP iRule

对于未使用Advanced WAF（API 安全 - 新一代 WAF）或 ASM 功能的 F5 BIG-IP 客户，可以将 F5 iRule 应用于应用来检测、记录和删除针对特定 CVE 的违规流量。 我们的初始安全公告包含更多有关实施 iRule 的信息和指导。

NGINX App Protect

NGINX App Protect 客户将与 BIG-IP Advanced WAF（API 安全 - 新一代 WAF）客户同时收到签名更新，从而确保无论使用哪种 F5 平台，应用的安全都保持一致。 要通过您的 NGINX App Protect 配置缓解相关漏洞，请确保您的签名已更新，查看此文档，并确保您的 WAF 策略启用了“服务器端代码注入”攻击类型。 更多背景信息请参阅最近发布的博客文章。

沃尔泰拉 WAF

我们的 Volterra WAF 平台（例如 NGINX App Protect 和 BIG-IP Advanced WAF（API 安全 - 新一代 WAF））已收到更新的签名，以进一步减轻与 Log4j 漏洞相关的任何暴露。 这些签名现在包含在默认 WAF 策略中，我们的 Volterra WAF 客户无需采取其他措施来减轻这种威胁。

F5 Silverline

F5 Silverline 团队已实施必要的缓解措施，以确保客户应用免受适用漏洞的攻击。 F5 Silverline SOC持续监控威胁，并将与我们的威胁研究团队和客户协调采取必要的缓解和保护措施。 Silverline 团队作为您自己的 AppSec 团队的延伸，全天候为您工作。

如果您对 Silverline 配置有具体疑问，请联系 SOC： support@f5silverline.com ；如需了解有关 Silverline 服务的更多信息，请访问： https://www.f5.com/products/security/silverline

威胁堆栈

F5 最近收购了Threat Stack，并对 Threat Stack 服务提供的重要检查、检测和报告功能表示欢迎。 Threat Stack 服务已经包含多条检测规则，可以指示 Log4j 的受损情况，包括以 root 身份启动服务、从 shell 运行服务以及升级尝试。 更多详细信息请参阅此博客文章。

如果您对 Threat Stack 服务感兴趣，希望它能帮助您保护应用免受当前 Log4j 威胁以及检测异常活动、确保合规性并获得全面的应用洞察，请联系您当前的 F5 销售代表或访问： https://www.threatstack.com

Shape Security

大多数利用漏洞的尝试都是从自动侦察开始的。 考虑到这一点，Shape Security 的 AI 驱动的 Bot Defense 是消除那些自动扫描的重要第一道防线，并增加了攻击者试图在面向 Internet 的 Web应用中发现此漏洞的难度。 Shape AI Cloud 能够近乎实时地适应机器人驱动的自动攻击，以跟上操作僵尸网络的攻击者不断变化的策略。 如果您想了解有关 Shape 的更多信息，请访问： https://www.f5.com/products/security/shape-security

保持联系

请访问我们关于CVE-2021-44228 、 CVE-2021-4104和CVE-2021-45046的安全公告，以获取有关 F5 缓解措施的最新信息。 如需进一步了解背景信息，客户可以从以下资源中了解更多信息：

其他 F5 博客

• 如何缓解当前 Log4j 漏洞并阻止未来漏洞利用（作者：Catherine Newcomb 和 Navpreet Gill）
• 从 Log4j 中学到的东西： 不要急于补救Lori MacVittie

F5 Labs

• 解释广泛存在的 Log4j 漏洞
• Log4Shell： 重启（旧的）安全原则

DevCentral

• DC 连接现场直播讨论 Log4j2 漏洞
• 使用 AFM 协议检查自定义签名缓解 Log4j (CVE-2021-44228) 漏洞
• 使用 BIG-IP 保护您的 Kubernetes 集群免受 Apache Log4j2 漏洞的攻击

NGINX

•  使用 NGINX 缓解 Log4j 漏洞

威胁堆栈

• Log4j 漏洞的高精度威胁检测

我们会持续向客户提供相关漏洞的最新信息，并在上面添加资源链接。 此外，客户还可以订阅有关软件发布、安全警报和其他重要更新的通知。

_______

作者：Scott Altman, Sr. F5 全球安全解决方案架构师总监