概述

本文将讨论与 Log4j 远程代码执行 (RCE) 漏洞相关的信息，以及 Cato 采取的步骤，以确保我们的客户得到保护。

本文涉及 CVE-2021-44228，该漏洞已被分配了 10.0（严重）的基本 CVSS 评分

Cato目前正在评估此漏洞对我们的客户群的影响，随着情况的发展，将更新本文。 

背景与影响

在 Java 日志库 Apache Log4j 2 的版本 2.0-beta9 到 2.14.1 中发现了一个漏洞。 如果系统记录了带有攻击者JNDI LDAP服务器查找的攻击者控制的字符串值，这可能允许远程攻击者在服务器上执行代码。

此漏洞利用将允许攻击者在 Java 应用程序上执行恶意代码，因此，由于 Log4j 在全球软件环境中的普遍使用，它构成了重大风险。 

环境

该问题似乎仅影响 log4j 版本 2.0 到 2.14.1 之间的版本。 要利用此漏洞，您需要：

• 一个使用任何协议（超文本传输协议、TCP 等）的远程可访问端点，允许攻击者发送任意数据，
• 端点中的日志记录语句，会记录攻击者控制的数据。

由于 log4j 1.x 中存在可以使用 JNDI 的 JMS Appender，log4j 版本 1.x 也可能受到此漏洞的影响。 安全研究人员仍在调查其影响。 

Cato 在做什么？

Cato Networks的安全分析师正不知疲倦地工作，以识别、精确定位并减轻我们客户可能面临的任何潜在漏洞或威胁。 

• 2021年12月9日：安全社区已经意识到 Apache Log4j 软件中的活跃利用尝试。
• 2021年12月10日：Cato Networks 识别了与此利用相关的流量签名，并开始积极监控我们的客户群。
• 2021年12月11日：我们在所有 Cato 客户的 IPS 中实施了一项全球阻止规则，以减轻此漏洞的影响。

当前，我们认为Cato Cloud基础设施不易受此漏洞影响。 

我需要做什么？

• 如果您已启用 Cato IPS，我们将自动积极阻止此漏洞的流量签名。 无需对Cato平台进行补丁或更新。
• Cato SDP 客户端、Cato Sockets、Cato vSockets 不使用 Apache Log4j。
• 建议任何使用 Apache 产品的客户遵循供应商的持续建议。

将在Cato管理应用程序中生成IPS事件，指示对此CVE的阻止操作。 例如：

该情况目前正在IT领域中演变，Cato Networks正在积极监控和调查，以确保我们的客户保持保护。