Os pesquisadores de segurança concordam que a aplicação de patches é a solução ideal. Se a correção não for viável, as organizações podem usar outras etapas de mitigação para minimizar as chances de um ataque.
Desativar a pesquisa de mensagens em aplicativos vulneráveis. Os invasores usam uma funcionalidade do Log4j chamada “substituições de pesquisa de mensagens” para enviar comandos maliciosos para aplicativos vulneráveis. As equipes de segurança podem desativar manualmente essa função alterando a propriedade do sistema “Log4j2.formatMsgNoLookups” para "true" ou definindo o valor da variável de ambiente "LOG4J_FORMAT_MSG_NO_LOOKUPS" como "true".
Embora a remoção da função de substituição de pesquisa de mensagens dificulte o ataque dos invasores, ela não é infalível. Agentes maliciosos ainda podem usar a CVE-2021-45046 para enviar pesquisas JNDI mal-intencionadas para aplicativos com configurações não padrão.
Remoção da classe JNDIlookup de aplicativos vulneráveis. No Log4j, a classe JNDIlookup controla como o logger lida com as pesquisas JNDI. Se essa classe for removida do diretório de classes do Log4j, as pesquisas JNDI não poderão mais ser executadas.
O Apache observa que o seguinte comando pode ser utilizado para remover a classe JNDIlookup de aplicativos vulneráveis:
zip -q -d Log4j-core-*.jar org/apache/logging/Log4j/core/lookup/JndiLookup.class
Embora esse método seja mais eficaz do que a desativação das pesquisas de mensagens, ele não impede que os invasores montem outras tentativas de invasão, como os ataques de denial-of-service por meio de pesquisas recursivas.
Bloqueio de possível tráfego de ataque do Log4Shell. As equipes de segurança podem usar firewalls de aplicações da web (WAFs), sistemas de detecção e prevenção de intrusões (IDPS), EDRs e outras ferramentas de cibersegurança para interceptar o tráfego de e para servidores controlados por invasores, bloqueando protocolos comumente usados, como LDAP ou RMI. As equipes de segurança também podem lidar com os endereços IP associados a ataques ou strings que os invasores costumam usar em solicitações maliciosas, como "jndi", "ldap" e "rmi".
No entanto, os invasores podem contornar essas defesas usando novos protocolos e endereços IP ou ofuscando strings maliciosas.
Quarentena de ativos afetados. Se tudo mais falhar, as equipes de segurança podem colocar os ativos afetados em quarentena enquanto esperam por um patch. Uma maneira de fazer isso é colocar ativos vulneráveis em um segmento de rede isolado que não pode ser acessado diretamente da internet. Um WAF pode ser colocado em torno deste segmento de rede para proteção extra.