يتفق باحثو الأمن على أن التصحيح هو الحل الأمثل. إذا لم يكن التصحيح ممكنًا، فيمكن للمؤسسات استخدام خطوات تخفيف أخرى لتقليل فرص الهجوم.
منع البحث عن الرسائل في التطبيقات المعرضة للخطر. يستغل المهاجمون ميزة بدائل البحث عن الرسائل في Log4j والتي تُعرَف باسم Message Lookup Substitutions لإرسال أوامر خبيثة إلى التطبيقات الضعيفة. يمكن لفرق الأمن تعطيل هذه الوظيفة يدويًا عن طريق تغيير خاصية النظام "Log4j2.formatMsgNoLookups" إلى "true"، أو ضبط متغيّر البيئة "LOG4J_FORMAT_MSG_NO_LOOKUPS" على "true".
رغم أن إزالة وظيفة استبدالات استعلام الرسائل تجعل الهجمات أصعب على المهاجمين، فإنها ليست حلًا مضمونًا بالكامل. ما زال بإمكان الجهات الخبيثة استغلال CVE-2021-45046 لإرسال استعلامات JNDI خبيثة إلى التطبيقات التي تستخدم إعدادات غير افتراضية.
إزالة فئة JNDilookup من التطبيقات الضعيفة. في Log4j، تتحكم فئة JNDIlookup في كيفية تعامل أداة التسجيل مع استعلامات JNDI. إذا تمت إزالة هذه الفئة من دليل فئات Log4j، فلن يكون من الممكن إجراء استعلامات JNDI.
تشير Apache إلى أنه يمكن استخدام الأمر التالي لإزالة فئة JNDIlookup من التطبيقات المعرضة للخطر:
zip -q -d Log4j-core-*.jar org/apache/logging/Log4j/core/lookup/JndiLookup.class
رغم أن هذه الطريقة أكثر فاعلية من تعطيل استبدالات استعلام الرسائل، فإنها لا تمنع المهاجمين من شنّ محاولات استغلال أخرى، مثل التسبب في هجمات حجب الخدمة عبر الاستعلامات المتكررة.
حظر حركة مرور هجمات Log4Shell المحتملة. يمكن لفرق الأمن استخدام جدران حماية تطبيقات الويب (WAFs)، وأنظمة كشف التسلل ومنعه (IDPS)، وحلول EDR، وأدوات الأمن الإلكتروني الأخرى لاعتراض حركة المرور من وإلى خوادم المهاجمين عن طريق حظر البروتوكولات الشائعة الاستخدام مثل LDAP أو RMI. يمكن لفرق الأمان أيضًا حظر العناوين المرتبطة بالهجمات أو السلاسل التي يستخدمها المهاجمون عادةً في الطلبات الضارة، مثل "jndi" و"ldap" و"rmi".
ومع ذلك، يمكن للمهاجمين الالتفاف على هذه الدفاعات باستخدام بروتوكولات وعناوين IP جديدة أو تعتيم السلاسل الضارة.
عزل الأصول المتأثرة. إذا فشل كل شيء آخر، يمكن لفرق الأمان عزل الأصول المتأثرة أثناء انتظار التصحيح. تتمثل إحدى طرق القيام بذلك في وضع الأصول المعرضة للخطر في جزء معزول من الشبكة لا يمكن الوصول إليه مباشرةً من الإنترنت. يمكن وضع WAF حول مقطع الشبكة هذا لمزيد من الحماية.