火絨安全Log4j2漏洞緩解工具是一款幫用戶可以在不重啟服務器的情況下解決Apache Log4j2反序列化遠程代碼執行漏洞的工具，用戶可以直接使用它進行檢查和打補丁，避免因為漏洞被攻擊出現不必要的損失

火絨安全“Log4j2漏洞緩解工具”使用方法

Linux環境

l??使用與掃描目標java項目相同的用戶, 在bash中運行CVE-2021-44228_mitigator.sh

l??檢測結果如下，檢測到漏洞后將自動應用“熱補丁”。?

檢測到漏洞

不存在該漏洞

Windows環境

l??以管理員權限啟動CVE-2021-44228-mitigator.exe

l??檢測結果如下，檢測到漏洞后將自動應用“熱補丁”+“靜態加固”。

檢測到漏洞

不存在該漏洞

注：1、熱補丁在業務重啟后將失效，需重新運行工具。

2、靜態加固持續有效。

熱補丁原理

借助JVM的Attach機制, 將緩解代碼注入運行中的目標JVM進程, 再使用ASM修改JVM中的org.apache.logging.log4j.core.lookup.JndiLookup方法的字節碼, 達到無需重啟禁用JndiLookup::lookup的目的。

相關說明

Log4j2漏洞細節被公開以來，火絨安全持續高度關注，并發現大量疑似利用此漏洞進行攻擊的事件。除挖礦、僵尸網絡外，大量“TellYouThePass”勒索病毒短時間內密集的對包含此漏洞的OA系統進行攻擊，相關OA、WEB服務、用戶程序等均有淪陷可能。火絨安全軟件可對上述病毒進行攔截查殺。

同時火絨安全多個防護項（“通過WMIC啟動可疑進程”、“利用Mshta執行可疑腳本”、“利用PowerShell執行可疑腳本”）也可有效攔截多數利用該漏洞后發起的惡意行為。如您在使用火絨安全軟件的過程中，在中心、終端發現近期出現的“文件實時監控”、“應用加固”、“系統加固”等攔截日志，需及時進行響應，使用火絨緩解工具排查是否受此漏洞影響，或聯系我們協助您進行排查。

其他問題答疑

1)受影響范圍：

Apache Log4j 2.x< 2.15.0-rc2

2)官方最新版本

目前官方發布最新版本為2.16.0，用戶可升級到最新版以修復漏洞。

3)可能受到影響的產品：

Spring-Boot-starter-log4j2

Apache Struts2

Apache Solr

Apache Flink

Apache Druid

ElasticSearch

Flume

Dubbo

Redis

Logstash

Kafka

VMware

火絨安全Log4j2漏洞緩解工具v1.1 安裝版下載地址