阻塞出站连接以减轻CVE-2021-44228 log4j？

Question

据我所知，成功利用漏洞需要连接到外部服务器才能下载有效负载。如果设备无法修补或以其他方式减轻，限制其出站访问是否会阻止成功的攻击？

假设这是一种有效的技术，那么哪些TCP/UDP端口应该被阻塞？

Answer 1

据我理解，该漏洞需要下载实际的漏洞有效载荷。JNDI提供了一种使用LDAP和(仅针对Java的旧版本？)的方法。和人事部。服务器必须返回序列化的Java对象，这将导致攻击者控制代码执行。

这意味着限制传出连接以防止加载漏洞可以减轻漏洞。但是不可能仅仅阻止特定的端口--攻击者控制的服务器承载了利用漏洞的有效负载，可以在任意端口上运行。

或者，可以使用HTTP代理，并将传出通信量限制在代理上。这应该会有所帮助，因为LDAP和RMI不适用于HTTP代理。