2021年12月，一個“核彈級”漏洞（Log4Shell ）被爆出，驚擾了全世界的企業(yè)安全人員的美夢。Log4j漏洞利用成本極低，可以直接任意代碼執(zhí)行，并接管目標(biāo)服務(wù)器，它的潛在危害嚴(yán)重性和影響面可以說是2021年之最，在短時間內(nèi)就讓全球近半數(shù)的企業(yè)網(wǎng)絡(luò)遭遇了攻擊，并在互聯(lián)網(wǎng)上迅猛擴(kuò)散。

那么Log4j漏洞到底是怎么一回事？負(fù)責(zé)保護(hù)和交付數(shù)字化體驗且深受全球企業(yè)信賴的解決方案提供商阿卡邁技術(shù)公司（Akamai Technologies, Inc.，以下簡稱：Akamai）對Log4j 漏洞的背景、漏洞利用攻擊和環(huán)境措施、以及經(jīng)驗教訓(xùn)等情況進(jìn)行了詳細(xì)回溯分析。

漏洞利用攻擊形式多樣、攻擊面廣泛

Log4j是Apache的一個開源項目，通過使用Log4j，可以控制日志信息輸送的目的地是控制臺、文件、GUI組件，甚至是套接口服務(wù)器、NT的事件記錄器、UNIX Syslog守護(hù)進(jìn)程等，也可以控制每一條日志的輸出格式，通過定義每一條日志信息的級別，還夠更加細(xì)致地控制日志的生成過程。這些可以通過一個配置文件來靈活地進(jìn)行配置，而不需要修改應(yīng)用的代碼。

Log4j 庫的普及，以及它提供的查找、嵌套和 JNDI 等豐富的功能，使該漏洞給攻擊者大開方便之門。這些強(qiáng)大的功能給開發(fā)者提供了便利，但也讓攻擊者有機(jī)可乘，讓他們能通過傳遞請求來引發(fā)數(shù)據(jù)滲漏或遠(yuǎn)程代碼執(zhí)行 (RCE)。

 JNDI（Java 命名和目錄接口) 是 Java 開發(fā)和運行環(huán)境中原生構(gòu)建的一種機(jī)制，它通過一個通用接口簡化了查詢各種不同目錄服務(wù)以獲得信息的過程。如果沒有 JNDI 查詢，這個漏洞也就不會存在。

JNDI 不僅允許查詢 Java 運行時環(huán)境內(nèi)的本地數(shù)據(jù)，還允許查詢 DNS 和 LDAP 等遠(yuǎn)程系統(tǒng)。攻擊者可以將 JNDI 與遠(yuǎn)程系統(tǒng)、env 查找和嵌套相結(jié)合，創(chuàng)建出只需添加到要記入日志的文本中就能引發(fā)數(shù)據(jù)滲漏的攻擊載荷。只要向 Log4j 傳送精心編制的攻擊載荷，就能輕易泄露出目標(biāo)環(huán)境的數(shù)據(jù)。

簡而言之，只要某個環(huán)境中運行的軟件包含能被 Log4j 查找表達(dá)式訪問且存在漏洞的代碼，那么攻擊者就能通過嵌套的手法，輕而易舉地將該環(huán)境中的信息強(qiáng)制傳送到由攻擊者控制的系統(tǒng)中。

另外，某些 Java 版本中的 JNDI 實現(xiàn)默認(rèn)允許一些目錄服務(wù)直接或間接地通過遠(yuǎn)程代碼響應(yīng)查詢，隨后發(fā)起查詢的機(jī)器可以在本地執(zhí)行這些遠(yuǎn)程代碼。例如，在存在漏洞的安裝環(huán)境內(nèi)，LDAP 目錄服務(wù)提供程序允許 LDAP 服務(wù)器使用稱為 引用的內(nèi)容來響應(yīng)查詢。這種引用會列出將下載到本地并在本地執(zhí)行的代碼的遠(yuǎn)程位置。

這些威脅極大的攻擊都需要向 Log4j 傳遞專門編制的消息，攻擊者利用受攻擊系統(tǒng)可將其提供的信息記錄到日志中的任何機(jī)會。

據(jù)Akamai觀察發(fā)現(xiàn)，基于 Web 的應(yīng)用程序目前是主要攻擊目標(biāo)，遭受攻擊的頻率遠(yuǎn)超過其他任何攻擊目標(biāo)。但值得注意的是，符合以下條件的任何服務(wù)都有可能成為漏洞利用者的攻擊媒介：

• 運行 Java
• 利用存在漏洞的 Log4j 版本記錄日志消息
• 記錄攻擊者提供的任何信息（URL、標(biāo)頭、Cookie、查詢等）

此外，Akamai 還在現(xiàn)實攻擊環(huán)境中觀察到另一種針對 DNS 的攻擊媒介，攻擊方法是在 DNS 響應(yīng)中嵌入攻擊載荷。

Log4j 是 Java 世界中應(yīng)用最廣泛的日志庫之一，而全世界有數(shù)十億的設(shè)備運行 Java。可想而知，這個漏洞實際的威脅面遠(yuǎn)超我們的想象，嚴(yán)重性也不言而喻了。

Akamai建議及時安裝系統(tǒng)補(bǔ)丁，正確實施緩解措施

隨著時間的推移，攻擊者可用來針對Log4j 漏洞發(fā)起攻擊的攻擊媒介數(shù)量也越來越多， 而唯一真正的解決方案就是為所有存在漏洞的系統(tǒng)裝好補(bǔ)丁。對此，Akamai 提出了一些行動方案建議：

• 對于能夠安裝補(bǔ)丁的系統(tǒng)，立即予以修補(bǔ)。此舉可提供理想的防護(hù)措施，確保您運行的 Log4j 是最新版本。
• 如果您已經(jīng)確定某些系統(tǒng)存在漏洞，但由于客觀原因無法立即為其升級 Log4j，那么應(yīng)該盡可能使用如下設(shè)置減小威脅面：
• 對于 Log4j 2.10 及更高版本，在啟動時向應(yīng)用程序傳遞“-Dlog4j2.formatMsgNoLookups=true”，這樣做可以禁用查找表達(dá)式。對于 Java，確保您的系統(tǒng)上采用了如下設(shè)置：com.sun.jndi.ldap.object.trustURLCodebase=false com.sun.jndi.rmi.object.trustURLCodebase=false
• 運行 WAF（比如 Akamai 卓越的 Kona 解決方案）來保護(hù)您的所有 Web 應(yīng)用程序，以幫助過濾掉攻擊企圖。無論是內(nèi)部還是外部服務(wù)器，都應(yīng)該采取這種保護(hù)措施。
• 運行 DNS 防火墻（比如 Akamai Enterprise Threat Protector），以監(jiān)測在您的環(huán)境中橫向移動的可疑 DNS 攻擊載荷，并予以阻止。
• 運行相關(guān)工具來全面監(jiān)測整個環(huán)境中運行的內(nèi)容，包括本地物理機(jī)器與云環(huán)境。利用各種工具（比如 Akamai Guardicore Segmentation 提供的工具）來監(jiān)測您環(huán)境中運行的所有內(nèi)容，利用這些工具來尋找您先前可能并不知道存在漏洞的應(yīng)用程序。
• 盡可能減少涉及到受影響應(yīng)用程序的通信。利用基于身份的細(xì)分機(jī)制（例如 Akamai Guardicore Segmentation 的細(xì)分機(jī)制）來限制可以與哪些存在漏洞的系統(tǒng)進(jìn)行通信。

Akamai 還建議，在設(shè)計和執(zhí)行修補(bǔ)策略時，同時實施這些抵御策略可以顯著降低存在漏洞的系統(tǒng)面臨的風(fēng)險。

Akamai 發(fā)揮自身優(yōu)勢，進(jìn)行漏洞風(fēng)險量化評估

隨著Log4j 漏洞危機(jī)的持續(xù)發(fā)酵，其風(fēng)險廣泛程度也引起了大家的密切關(guān)注。對于此，Akamai 威脅研究實驗室利用自身對于全球海量數(shù)據(jù)中心的監(jiān)測能力，從全球 200 多個不同行業(yè)、不同規(guī)模的數(shù)據(jù)中心收集了相關(guān)數(shù)據(jù)，評估了 Log4j 漏洞給企業(yè)帶來的實際風(fēng)險：

• 在所有接受檢查的 Java 服務(wù)器中，有三分之二的服務(wù)器使用存在漏洞的 Log4j 框架。
• 在所研究的數(shù)據(jù)中心內(nèi)，有 91% 在運行 Java 服務(wù)器端應(yīng)用程序；在這部分?jǐn)?shù)據(jù)中心內(nèi)，40% 以上具有面向互聯(lián)網(wǎng)的 Java 服務(wù)器。
• 觀察出站通信模式時，我們所研究的絕大多數(shù) Java 應(yīng)用程序都通過少數(shù)幾個端口通信。
• 分析出站通信模式可以幫助企業(yè)檢測異常行為，并且緩解 Log4Shell 所造成的部分風(fēng)險。

Akamai 威脅研究實驗室通過探究 Java 服務(wù)器的通信模式發(fā)現(xiàn)，對允許從數(shù)據(jù)中心的不同服務(wù)器和進(jìn)程外發(fā)的通信加以限制十分重要。針對迄今為止始終通過一組特定端口通信的一個進(jìn)程，識別其第一次與某個目標(biāo)端口通信的情況，這樣就能有效地辨別攻擊企圖，可以為安全和 IT 從業(yè)者提供必要的信息，幫助其檢測和抵御環(huán)境中的異常問題，最終阻止 Log4j漏洞利用攻擊，并讓正常的業(yè)務(wù)運營不受干擾。

據(jù)悉，在全球各地有數(shù)百個數(shù)據(jù)中心使用 Akamai Guardicore Segmentation 來實現(xiàn)進(jìn)程級網(wǎng)絡(luò)監(jiān)測，以及相關(guān)措施的實施。因此Akamai能夠觀測在網(wǎng)絡(luò)內(nèi)進(jìn)行的所有網(wǎng)絡(luò)連接，能夠研究數(shù)據(jù)中心和云端網(wǎng)絡(luò)內(nèi)部以及跨越其安全邊界的網(wǎng)絡(luò)通信模式，從而總結(jié)出了Log4j 漏洞給我們的數(shù)字生活帶來的風(fēng)險的整體量級參考。 

Log4j 漏洞的爆發(fā)為我們敲響了網(wǎng)絡(luò)安全的警鐘，每個企業(yè)都應(yīng)該準(zhǔn)備一套應(yīng)對策略，以備不時之需。Akamai 針對 Log4j 漏洞的分析與研究，理清了事件本質(zhì)， 明確了緩解措施，為網(wǎng)絡(luò)安全人員抵御安全風(fēng)險提供了重要參考和借鑒。