Apache Log4j2 远程代码执行漏洞分析+检测+防护(最新推荐)2025年6月15日

　　Apache Log4j2是一款开源的Java日志框架，被广泛地应用在中间件、开发框架与Web应用中，用来记录日志信息。由于ApacheLog4j2某些功能存在递归解析功能，未经身份验证的攻击者通过发送特别构造的数据请求包，可在目标服务器上执行任意代码。漏洞PoC已在网上公开，默认配置即可进行利用，该漏洞影响范围极广，建议相关用户尽快采取措施进行排查与防护。

　　根据Iog4j的用途和复现的情况来看，攻击入口取决于Iog4j从线上业务的哪些地方取数据放入 logger.error，所以没有固定请求路径。另外由于线上web业务的任何数据都可能写入Iog4j，甚 至一些pre-auth的地方，比如注册、登录，所以这个漏洞的影响可能会被放大到未授权命令执行。

　　1、相关用户可根据Java jar解压后是否存在org/apache/logging/log4j相关路径结构，判断是否使用了存在漏洞的组件，若存在相关Java程序包，则很可能存在该漏洞。

　　2、若程序使用Maven打包，查看项目的pom.xml文件中是否存在下图所示的相关字段，若版本号为小于2.15.0，则存在该漏洞。

　　目前官方已发布测试版本修复该漏洞，受影响用户可先将Apache Log4j2所有相关应用到该版本，下载链接：

　　以上流量特征可能出现在流量中的任何地方，也包括各种类型的请求（GET、POST等），所以需要对 整个请求流量做特征匹配。

　　以上正则对业务中的正常jndi流量无影响（恶意流量须包含${jndi:rmi或${jndi:ldap，正常 业务jndi流量通常只包含rmi://、 ldap:// ），但是如果你的正常流量也包含上述特征请慎用。

　　从官方给的信息和复现情况来看，利用手段是jndi注入无疑，jndi注入无非ldap、rmi,需要外连请 求Idap-server/exp-server，禁止外连能在一定程度上缓解，但是不能防御攻击者已控其他内部服务 器的情况。此外，JDK11.0.1、8u191、7u201、6u211或者更高版本默认是无法利用JNDI注入，JDK6u141、7u131、8u121或者更高版本无法利用RMI注入，网 上的一些bypas s方法也是依赖本地特定的lib（相当于找了新的gadgets），所以总结：

　　到此这篇关于Apache Log4j2 远程代码执行漏洞分析+检测+防护的文章就介绍到这了,更多相关Apache Log4j2 远程代码执行漏洞内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！