Log4j 2 漏洞：威胁与缓解措施

2023-11-17 10:24:02

KubeSphere 对 Apache Log4j 2 远程代码执行最新漏洞的修复方案

Apache Log4j 2 是一个广泛用于日志记录的开源库。最近，该库中发现了一个严重的远程代码执行（RCE）漏洞。本文将深入探讨此漏洞及其对 KubeSphere 用户的影响，并提供逐步指导以实施缓解措施。

漏洞详情

Apache Log4j 2 中的 RCE 漏洞允许攻击者通过精心设计的日志消息执行任意代码。该漏洞源于库解析不受信任的数据时处理 JNDI 查找的方式。攻击者可以利用此漏洞在运行 Log4j 2 的系统上执行恶意代码。

对 KubeSphere 的影响

KubeSphere 是一个企业级 Kubernetes 平台，广泛使用 Log4j 2 进行日志记录。因此，KubeSphere 用户可能会受到此漏洞的影响。如果未及时采取缓解措施，攻击者可能利用此漏洞获得对 KubeSphere 集群的未经授权访问，并执行恶意操作。

缓解措施

为了缓解此漏洞，KubeSphere 用户应采取以下步骤：

升级 Log4j 2： 将 Log4j 2 升级到最新版本（2.17.1）。
禁用 JNDI： 禁用 Log4j 2 中的 JNDI 查找功能，使其无法解析不受信任的数据。
删除 JNDI 类： 从 Java 类路径中删除 JNDI 类，以防止攻击者利用它们执行恶意代码。
使用 WAF： 部署 Web 应用程序防火墙 (WAF)，以阻止利用此漏洞的恶意请求。

分步指南

升级 Log4j 2
- 对于使用 Helm 部署 KubeSphere 的用户：
  - 编辑 values.yaml 文件并添加以下行：
```
log4j2:
  version: 2.17.1
```
  - 运行 helm upgrade -f values.yaml my-release 命令。
- 对于直接部署 KubeSphere 的用户：
  - 下载 Log4j 2 2.17.1 jar 文件。
  - 替换现有 Log4j 2 jar 文件。

禁用 JNDI

编辑 log4j2.xml 配置文件并添加以下行：

<Configuration status="error">
  <Appenders>
    <Console name="Console" target="SYSTEM_OUT">
      <PatternLayout pattern="%d{HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n"/>
    </Console>
  </Appenders>
  <Loggers>
    <Root level="error">
      <AppenderRef ref="Console"/>
    </Root>
  </Loggers>
</Configuration>

重新启动 Log4j 2。

删除 JNDI 类
- 对于使用 Java 8 及以下版本的 KubeSphere 用户：
  - 编辑 $JAVA_HOME/jre/lib/security/java.security 文件并添加以下行：
```
security.provider.1=sun.security.provider.Sun
```
  - 重新启动 Java 虚拟机 (JVM)。
- 对于使用 Java 9 及以上版本的 KubeSphere 用户：
  - 在 JVM 启动参数中添加 --add-opens java.naming=ALL-UNNAMED 选项。
使用 WAF
- 部署 WAF，例如 ModSecurity 或 Nginx WAF。
- 将 WAF 配置为阻止包含以下模式的请求：
  - ^.*(?=.*log4j).*
  - ^.*(?=.*jndi).*