7月14日，美國網(wǎng)絡(luò)安全審查委員會發(fā)布首份報告《回顧2021年12月的Log4j事件》，報告系統(tǒng)梳理了Apache Log4j漏洞的實際影響和未來的威脅。同時指出，Log4j 漏洞風(fēng)靡全球，而且會長期存在，并將在未來多年引發(fā)持續(xù)風(fēng)險。

一、漏洞發(fā)現(xiàn)和披露

從2021年11月全球知名開源日志組件Apache Log4j被曝存在嚴(yán)重高危險級別遠(yuǎn)程代碼執(zhí)行漏洞（具體見表1）以來，黑客已經(jīng)在嘗試?yán)么寺┒床?zhí)行惡意代碼攻擊，所有類型的在線應(yīng)用程序、開源軟件、云平臺和電子郵件服務(wù)都可能面臨網(wǎng)絡(luò)安全風(fēng)險。攻擊者可以利用該漏洞遠(yuǎn)程。

根據(jù)業(yè)界眾多網(wǎng)絡(luò)安全公司的觀測，目前大多數(shù)Log4j漏洞利用主要是挖礦軟件，但攻擊者也在積極嘗試在易受攻擊的系統(tǒng)上安裝更危險的惡意軟件。據(jù)外媒報道，漏洞發(fā)現(xiàn)以來，Steam、蘋果的云服務(wù)受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念游戲“Minecraft我的世界”數(shù)十萬用戶被入侵。美聯(lián)社評論稱，這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計算機(jī)漏洞。

表1  Log4j漏洞披露時間表

二、各方響應(yīng)

工業(yè)網(wǎng)絡(luò)安全廠商在監(jiān)測中已經(jīng)發(fā)現(xiàn)大量的漏洞利用嘗試和成功利用的現(xiàn)象。主要國家的網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)已紛紛發(fā)布預(yù)警，要求限期修復(fù)漏洞。

1. 各國政府積極響應(yīng)，發(fā)布警告應(yīng)對漏洞威脅

在漏洞爆出之后，主要國家政府及網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)已紛紛發(fā)布預(yù)警，要求限期修復(fù)漏洞。在中國，2021年12月13日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報告，立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判，通報督促阿帕奇軟件基金會及時修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。在美國，2021年12月10日，美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局就該漏洞發(fā)出了緊急警報，并敦促各公司采取行動。12月22日，美國CISA、FBI、NSA以及五眼聯(lián)盟的另外四個國家的網(wǎng)絡(luò)安全機(jī)構(gòu)當(dāng)?shù)貢r間12月22日發(fā)布聯(lián)合網(wǎng)絡(luò)安全咨詢公告，警告稱黑客正在“積極利用”最近在Apache日志庫log4j中發(fā)現(xiàn)的三個漏洞。除此之外，在漏洞爆出之后，英國國家網(wǎng)絡(luò)安全中心整合了新的流程來改進(jìn)未來的漏洞管理指南，并在整個Log4j事件中加以利用。德國的網(wǎng)絡(luò)安全組織就該漏洞發(fā)出“紅色警報”，比利時考慮到與該漏洞有關(guān)的網(wǎng)絡(luò)攻擊，國防部關(guān)閉了部分計算機(jī)網(wǎng)絡(luò)。

2. 各安全公司積極排查，及時修補(bǔ)產(chǎn)品漏洞

各安全公司加緊排查其產(chǎn)品受影響程度并修補(bǔ)他們的產(chǎn)品，同時敦促用戶應(yīng)用這些更新，突顯及時解決該漏洞問題的緊迫性和廣泛性。西門子在2021年12月13日發(fā)現(xiàn)其部分產(chǎn)品線中存在Apache Log4j漏洞，未經(jīng)身份驗證的遠(yuǎn)程攻擊者可能會利用該漏洞在易受攻擊的系統(tǒng)上執(zhí)行代碼。該公司15日更新的受上述兩個漏洞影響的產(chǎn)品多達(dá)35種。除了確定各種緩解措施外，西門子還建議用戶使用適當(dāng)?shù)臋C(jī)制保護(hù)對設(shè)備的網(wǎng)絡(luò)訪問。為了在受保護(hù)的IT環(huán)境中操作設(shè)備，西門子建議根據(jù)西門子工業(yè)安全操作指南配置環(huán)境。另外一家自動化巨頭施耐德電氣也在當(dāng)日咨詢報告中表示，將繼續(xù)評估Log4j漏洞如何影響其產(chǎn)品，并將在特定產(chǎn)品的緩解信息可用時通過其網(wǎng)絡(luò)安全支持門戶向客戶提供更新。知名工業(yè)網(wǎng)絡(luò)安全公司claroty在其2021年12月14日評估了漏洞對SCADA、ICS和OT的影響，其安全研究團(tuán)隊Tem82還致力于創(chuàng)建更多概念驗證來復(fù)現(xiàn)漏洞，并期望有自動化供應(yīng)商合作伙伴可以使用這些概念驗證來測試他們的產(chǎn)品是否易受攻擊。2021年12月，思科對其150多款產(chǎn)品進(jìn)行排查，以尋找Log4j漏洞。到目前為止，思科已發(fā)現(xiàn)有三款產(chǎn)品存在該漏洞，并確定有23款產(chǎn)品沒有該漏洞。

三、深遠(yuǎn)影響

2021年年末爆發(fā)的Log4j 安全漏洞堪稱互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一，漏洞波及面和危害程度堪比2017年的“永恒之藍(lán)”漏洞。從爆發(fā)至今，Log4j漏洞影響的嚴(yán)重性、廣泛性已經(jīng)在各領(lǐng)域開始顯現(xiàn)，并不斷加大。

1. 持續(xù)時間長

在美國網(wǎng)絡(luò)安全審查委員會發(fā)布首份報告《回顧2021年12月的Log4j事件》明確指出，Log4j 是一款開源軟件，開發(fā)者已經(jīng)將其集成到數(shù)百萬個系統(tǒng)中。這種無孔不入、無處不在的軟件中的漏洞有能力影響全世界的公司和組織（包括政府）。自從2021年11月曝光的Log4j漏洞已成為一大“持續(xù)性流行漏洞”，將在未來多年引發(fā)持續(xù)風(fēng)險，換言之，這種無所不在的軟件庫的未經(jīng)修復(fù)版本，將在未來十年或更長時間內(nèi)繼續(xù)留存在各類系統(tǒng)當(dāng)中。同時，美國網(wǎng)絡(luò)安全審查委員會預(yù)測，鑒于 Log4j的普遍存在，在未來十年中，易受攻擊的版本仍將存在于系統(tǒng)中，我們將看到利用漏洞的方式不斷演變，所有組織都應(yīng)具備發(fā)現(xiàn)和升級易受攻擊軟件的能力，以及長期維持這些漏洞管理能力的能力。

2.影響面廣

根據(jù)統(tǒng)計，有超過35,863個開源軟件 Java 組件依賴于 Log4j，意味著超過 8% 的軟件包里至少有一個版本會受此漏洞影響。漏洞在依賴鏈中越深，修復(fù)步驟就越多。根據(jù)云安全專家評估，每秒有超過 1000次利用Log4j漏洞的嘗試。Log4j漏洞不僅影響直接使用該庫的基于Java的應(yīng)用程序和服務(wù)，還影響許多其他流行的依賴它的Java組件和開發(fā)框架，包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、ApacheKafka。隨著危機(jī)的持續(xù)發(fā)酵，此次 Log4j 漏洞帶來的損失目前尚無法準(zhǔn)確評估。

2022年6月，美國CISA發(fā)布警告強(qiáng)調(diào)Log4Shell 漏洞目前已經(jīng)影響了 1800多種產(chǎn)品，產(chǎn)品安全團(tuán)隊需要額外注意識別任何包含風(fēng)險 Log4j包的軟件。當(dāng)前，黑客仍在利用Log4Shell漏洞，專門針對未打補(bǔ)丁的、面向Internet的VMware Horizon和Unified Access Gateway服務(wù)器。在《2021年終漏洞快速查看》報告中，CISA強(qiáng)調(diào)了Log4j漏洞具有廣泛影響的潛力，自報告發(fā)布以來，受影響的產(chǎn)品總數(shù)增加了 11.6%。隨著繼續(xù)跟蹤漏洞，受Log4j漏洞 影響的產(chǎn)品總數(shù)可能會增加。

3.危害性大

自2021年年底Log4j漏洞爆發(fā)以來， Mirai、Muhstik等多個僵尸網(wǎng)絡(luò)家族利用此漏洞進(jìn)行傳播。同時，該漏洞利用正在發(fā)生快速變異，繞過現(xiàn)有緩解措施，并吸引了越來越多的黑客攻擊者。Check Point的網(wǎng)絡(luò)安全研究人員警告說，Log4j漏洞正在快速變異，已經(jīng)產(chǎn)生60多個更強(qiáng)大的變種，所有變種都在不到一天的時間內(nèi)產(chǎn)生。

2022 年 4 月以來，針對 VMware Horizon 服務(wù)器的Log4j攻擊仍舊不斷持續(xù)且有增無減。朝鮮黑客組織 Lazarus 一直通過Log4j 遠(yuǎn)程代碼執(zhí)行漏洞，在未應(yīng)用安全補(bǔ)丁的 VMware Horizon虛擬桌面平臺中大肆利用 Log4j漏洞來部署勒索軟件及其他惡意程序包。2021年12月，比利時國防部網(wǎng)絡(luò)最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫log4j的巨大漏洞實施攻擊，國防部證實這次攻擊是成功利用了log4j的漏洞。

四、應(yīng)對措施

鑒于Log4j漏洞的普遍存在，考慮到Log4j漏洞的使用規(guī)模、利用該漏洞的容易程度以及對該漏洞的廣泛報道，該漏洞對數(shù)字生態(tài)系統(tǒng)的安全有重大影響。全球私營和公共部門的合作伙伴應(yīng)采取措施積極應(yīng)對。

1.持續(xù)對Log4j 漏洞保持高度警惕

由于Log4j漏洞在今后若干年長期存在，所有組織應(yīng)具備發(fā)現(xiàn)和升級易受攻擊軟件的能力，以及長期維持這些漏洞管理的能力。所有組織都應(yīng)繼續(xù)主動監(jiān)控和升級Log4j的易受攻擊版本，優(yōu)先應(yīng)用軟件升級，謹(jǐn)慎使用緩解措施，避免可能造成長期暴露的錯誤情況（例如，暴露易受攻擊面的配置錯誤）。同時，運用成熟的業(yè)務(wù)流程來防止易受攻擊版本的重新引入，采取基于風(fēng)險的方法來補(bǔ)救Log4j漏洞，以便解決其他嚴(yán)重性漏洞。

2. 及時評估安全漏洞風(fēng)險

根據(jù) Log4j漏洞的嚴(yán)重性，所有企業(yè)都需要快速評估其業(yè)務(wù)運營的潛在風(fēng)險，并制定和執(zhí)行行動計劃。當(dāng)前對Log4j漏洞事件做出最有效響應(yīng)的組織已經(jīng)擁有技術(shù)資源和成熟的流程，可以識別易受攻擊的產(chǎn)品資源、評估潛在風(fēng)險。要降低Log4j和其他廣泛使用的開源軟件中的漏洞給生態(tài)系統(tǒng)帶來風(fēng)險的可能性，成熟可靠方法是確保代碼的開發(fā)符合行業(yè)公認(rèn)的安全編碼實踐，并由安全專家進(jìn)行相應(yīng)的審核。

3. 加強(qiáng)漏洞的規(guī)范化管理

各組織要積極開展開源軟件安全動員計劃，由 Linux基金會和開放源碼安全基金會領(lǐng)導(dǎo)，呼吁業(yè)界采取行動開發(fā)軟件組件框架，以加快發(fā)現(xiàn)和響應(yīng)未來的漏洞。同時，組織應(yīng)對系統(tǒng)上運行的軟件高風(fēng)險漏洞進(jìn)行整體評估、匯總、分類和優(yōu)先級排序，從而來提高其漏洞響應(yīng)機(jī)制的成熟度。同時，各組織應(yīng)該建立一致的安全開發(fā)流程，軟件安全評估和漏洞管理操作流程，以及規(guī)范補(bǔ)丁創(chuàng)建和協(xié)調(diào)披露機(jī)制。

五、結(jié)語

根據(jù)Gartner的相關(guān)統(tǒng)計，到 2025年，30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞，這將會導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施運營停止或關(guān)鍵型網(wǎng)絡(luò)物理系統(tǒng)停止。面對日益嚴(yán)峻的安全漏洞形勢，我國亟需加快網(wǎng)絡(luò)安全漏洞治理體系建設(shè)，提升我國關(guān)鍵基礎(chǔ)設(shè)施漏洞威脅防御水平，充分發(fā)揮漏洞預(yù)警管理在網(wǎng)絡(luò)空間安全管理中的重要作用。