Log4Shell 缓解

主页 » 功能 » Log4Shell 缓解

使用自定义脚本缓解 Apache Log4Shell 漏洞 (CVE-2021-44228)

本文是我们 之前关于 Log4Shell 漏洞的文章的续篇。本文讨论了使用 Endpoint Central 服务器通过自定义脚本缓解受影响的 Web 服务器应用程序中 log4shell 漏洞的步骤。有关检测网络系统中受影响的 Web 服务器安装的步骤,请参考我们的 之前的文章。本文讨论的自定义脚本执行了 apache 建议的缓解步骤,详情请参阅 此处。此缓解适用于其供应商尚未提供补丁或缓解措施以解决 Log4Shell 漏洞的易受攻击的 Web 服务器应用程序/软件。 注意: 建议先与应用程序/软件供应商确认并评估 本缓解措施的影响 后再应用。

自定义脚本执行以下缓解操作:

  1. 停止使用易受攻击 Log4j 版本的 Web 服务器应用服务。
  2. 定位 log4j-core-x.jar 文件,‘x’ 表示易受攻击的 Log4j 版本。
  3. 从匹配易受攻击 Log4j 版本的 jar 文件中移除 "jndilookup.class" 文件。
  4. 重新启动 Web 服务器应用服务。

使用 Endpoint Central 部署自定义脚本的步骤如下:

  1. 登录 Endpoint Central 服务器控制台
  2. 导航至配置 (Configurations) 标签,定位控制台左侧窗格中的脚本库部分。
  3. 在脚本库部分,切换到模板视图,找到以下自定义脚本 - “log-4j Mitigation script.exe”(适用于 Windows)和 “Linux-Log-4j-Mitigation.sh”(适用于 Linux)。选择上述脚本并点击添加到库 (Add to Repository)。
  4. 现在,转到配置,根据要缓解 Log4j 的系统操作系统平台选择 Windows 或 Linux。
  5. 将鼠标悬停在自定义脚本 (custom script) 上,点击计算机 (computer)。这将打开自定义脚本配置部署工作流程。
  6. 为配置命名。
  7. 在“执行脚本位置/运行位置”选项中,选择库 (Repository)。
  8. 在脚本名称字段中,搜索并选择之前添加的 Windows/Linux 自定义脚本。
  9.  

    • 如果要为 Windows 部署脚本,请在脚本参数字段中指定以下参数:

      注意: Windows 脚本需要两个参数。参数 1 用于定位受影响 Web 服务器中的易受攻击 Log4j jar 文件。参数 2 用于停止和启动 Web 服务器应用服务。

      • 参数 1 : 用双引号括起来指定易受攻击的 Web 服务器应用的主目录路径或 exe 路径。例如,exe 路径可指定为 - "C:\sample test server\log4j vulnerable server\apache\bin\httpd.exe",或主目录路径可指定为 - "C:\Test server\Vulnerable test server"。 注意: 如果您使用的是启用了漏洞管理附加组件的 Endpoint Central 设置,可以通过 Endpoint Central 网页控制台轻松查找网络中易受攻击的 Web 服务器安装的主目录路径或 exe 路径,具体步骤请参见我们 之前关于 Log4Shell 漏洞的文章。
      • 参数 2 : 用双引号括起来指定易受攻击 Web 服务器应用的服务名称。参数 1 和参数 2 必须在同一行中,用空格分隔。例如,两个参数必须指定为 - "C:\Test server\Vulnerable test server" "SERVICE_NAME"。易受攻击 Web 服务器应用的服务名称可在 services.msc 中获取。打开受影响 Windows 机器上的 services.msc,找到易受攻击 Web 服务器应用的服务名称。双击该服务名称,弹出的窗口中可以找到服务名称。

      注意: 对于 Windows,一次只能指定一个路径和一个服务名称。针对不同的 Web 服务器应用,需要创建单独的配置部署以使用自定义脚本进行缓解。

    • 如果要为 Linux 部署脚本,请在脚本参数字段中指定以下参数:

      注意: Linux 脚本需要两个参数。参数 1 用于停止和启动易受攻击的 Web 服务器应用服务。参数 2 用于定位受影响 Web 服务器中的易受攻击 Log4j jar 文件。

      • 参数 1 : 用双引号括起来指定易受攻击 Web 服务器应用的服务名称。如果指定多个 Web 服务器的服务,用逗号分隔。例如,多个 Web 服务器的服务名称可指定为 - "tomcat9,apache2"。 注意: 如果您使用的是启用了漏洞管理附加组件的 Endpoint Central 设置,可以通过 Endpoint Central 网页控制台轻松查找网络中易受攻击的 Web 服务器安装及其主目录路径或 exe 路径,具体步骤请参见我们 之前关于 Log4Shell 漏洞的文章。
      • 参数 2 : 用双引号括起来指定易受攻击 Web 服务器应用的主目录路径。例如,主目录路径可指定为 - "/var/lib/tomcat9"。多个 Web 服务器的目录路径可指定为 - "/var/lib/tomcat9,/etc/apache2"。参数 1 和参数 2 必须在同一行中,用空格分隔,格式如下 - "tomcat9,apache2" "/var/lib/tomcat9,/etc/apache2"。
  10. 保持依赖文件字段为空。
  11. 指定退出码为 0。
  12. 选择频率为“仅执行一次”,并勾选“启用故障排除日志记录”。
  13. 根据要部署脚本的操作系统平台选择 Windows/Linux 目标。仅应选择具有与第 12 步中参数所提供的服务名称和路径相同的 Web 服务器安装的系统。 注意: 如果您使用的是启用了漏洞管理附加组件的 Endpoint Central 设置,可以通过 Endpoint Central 网页控制台轻松查找受影响的系统,具体步骤请参见我们 之前关于 Log4Shell 漏洞的文章。
  14. 如有需要,配置重试和通知设置。
  15. 点击部署或立即部署。

您可以通过导航至 admin > Endpoint Security add-on,启用最多支持 25 台系统的 Endpoint Security 附加组件免费试用版。欲购买 Endpoint Security 附加组件许可,请联系 sales@manageengine.com.

受信赖的