Los investigadores de seguridad coinciden en que la aplicación de parches es la solución ideal. Si la aplicación de parches no es factible, las organizaciones pueden usar otros pasos de mitigación para minimizar las posibilidades de un ataque.
No permitir búsquedas de mensajes en aplicaciones vulnerables. Los atacantes utilizan una característica de Log4j llamada "sustituciones de búsqueda de mensajes" para enviar comandos maliciosos a aplicaciones vulnerables. Los equipos de seguridad pueden desactivar manualmente esta función cambiando la propiedad del sistema "Log4j2.formatMsgNoLookups" a "true" o establecer el valor de la variable de entorno "LOG4J_FORMAT_MSG_NO_LOOKUPS" en "true".
Si bien eliminar la función de sustitución de búsqueda de mensajes dificulta el ataque de los atacantes, no es infalible. Los actores maliciosos aún pueden usar CVE-2021-45046 para enviar búsquedas JNDI maliciosas a aplicaciones con configuraciones no predeterminadas.
Eliminación de la clase JNDIlookup de las aplicaciones vulnerables. En Log4j, la clase JNDIlookup rige cómo el registrador maneja las búsquedas JNDI. Si esta clase se elimina del directorio de clases de Log4j, ya no se podrán realizar búsquedas JNDI.
Apache señala que el siguiente comando se puede usar para eliminar la clase JNDIlookup de las aplicaciones vulnerables:
zip -q -d Log4j-core-*.jar org/apache/logging/Log4j/core/lookup/JndiLookup.class
Si bien este método es más eficaz que no permitir las búsquedas de mensajes, no impide que los atacantes realicen otros intentos de explotación, como desencadenar ataques de denegación del servicio a través de búsquedas recursivas.
Bloqueo del tráfico potencial de ataques de Log4Shell. Los equipos de seguridad pueden utilizar cortafuegos de aplicaciones web (WAF), sistemas de detección y prevención de intrusiones (IDPS), EDR y otras herramientas de ciberseguridad para interceptar el tráfico hacia y desde servidores controlados por atacantes mediante el bloqueo de protocolos de uso común como LDAP o RMI. Los equipos de seguridad también pueden bloquear direcciones IP asociadas con ataques o las cadenas que los atacantes suelen usar en solicitudes maliciosas, como "jndi", "ldap" y "rmi".
Sin embargo, los atacantes pueden eludir estas defensas utilizando nuevos protocolos y direcciones IP u ofuscando cadenas maliciosas.
Poner en cuarentena los activos afectados. Si todo lo demás falla, los equipos de seguridad pueden poner en cuarentena los activos afectados mientras esperan un parche. Una forma de hacerlo es colocar los activos vulnerables en un segmento de red aislado al que no se puede acceder directamente desde Internet. Se puede colocar un WAF alrededor de este segmento de red para una protección adicional.