Peneliti keamanan setuju bahwa penambalan adalah solusi ideal. Jika penambalan tidak memungkinkan, organisasi dapat menggunakan langkah-langkah mitigasi lain untuk meminimalkan kemungkinan serangan.
Melarang pencarian pesan di aplikasi yang rentan. Penyerang menggunakan fitur Log4j yang disebut “penggantian pencarian pesan” untuk mengirim perintah berbahaya ke aplikasi yang rentan. Tim keamanan dapat secara manual melarang fungsi ini dengan mengubah properti sistem “log4j2.formatMsgnoLookups” menjadi “true” atau mengatur nilai variabel lingkungan “LOG4J_FORMAT_MSG_NO_LOOKUPS” menjadi “true.”
Meskipun menghapus fungsi substitusi pencarian pesan membuat penyerang lebih sulit untuk menyerang, langkah ini tidak menjamin tidak adanya penyalahgunaan. Pelaku kejahatan masih dapat menggunakan CVE-2021-45046 untuk mengirim pencarian JNDI berbahaya ke aplikasi dengan pengaturan non-default.
Menghapus kelas JNDIlookup dari aplikasi yang rentan. Di Log4j, kelas JNDILookup mengatur bagaimana alat pencatat menangani pencarian JNDI. Jika kelas ini dihapus dari direktori kelas Log4j, pencarian JNDI tidak dapat lagi dilakukan.
Apache mencatat bahwa perintah berikut dapat digunakan untuk menghapus kelas JNDIlookup dari aplikasi yang rentan:
zip -q -d log4j-core-*.jar org/apache/pencatatan/Log4j/core/lookup/JndiLookup.class
Meskipun metode ini lebih efektif daripada melarang pencarian pesan, metode ini tidak menghentikan penyerang melakukan upaya eksploitasi lainnya, seperti memicu denial-of-service melalui pencarian rekursif.
Memblokir potensi lalu lintas serangan Log4Shell. Tim keamanan dapat menggunakan firewall aplikasi web (WAF), sistem deteksi dan pencegahan intrusi (IDPS), EDR, dan alat keamanan siber lainnya untuk mencegat lalu lintas ke dan dari server yang dikendalikan penyerang dengan memblokir protokol yang umum digunakan seperti LDAP atau RMI. Tim keamanan juga dapat memblokir alamat IP yang terkait dengan serangan atau string yang biasanya digunakan penyerang dalam permintaan berbahaya, seperti "jndi," "ldap" dan "rmi."
Namun, penyerang dapat menyiasati pertahanan ini dengan menggunakan protokol dan alamat IP baru atau menyamarkan untai yang berbahaya.
Karantina aset yang terpengaruh. Jika semuanya gagal, tim keamanan dapat mengarantina aset yang terpengaruh sambil menunggu patch. Salah satu cara untuk melakukan ini adalah dengan menempatkan aset yang rentan di segmen jaringan yang terisolasi yang tidak dapat diakses secara langsung dari internet. WAF dapat ditempatkan di sekitar segmen jaringan ini untuk perlindungan ekstra.