如今，堪稱核彈級(jí)的 Apache Log4j 庫中的關(guān)鍵零日漏洞 Log4Shell被發(fā)現(xiàn)已經(jīng)過了4個(gè)月，越來越多的人們已經(jīng)將更多視線轉(zhuǎn)移到新近爆發(fā)的其它漏洞，似乎Log4Shell正要成為“過氣網(wǎng)紅”。

但威脅分析師正發(fā)出提醒，由于該漏洞幾乎是無處不在，能夠得到有效修復(fù)的應(yīng)用程序數(shù)量還遠(yuǎn)遠(yuǎn)不夠。Log4Shell目前依然是一個(gè)廣泛且嚴(yán)重的安全威脅。

4月26日，安全公司Rezilion發(fā)布了一份最新研究報(bào)告，顯示截至4月底，仍然有40%的易受攻擊的Log4j版本被運(yùn)用。在查看來自 Google 的 Open Source Insights 服務(wù)的數(shù)據(jù)時(shí)，Rezilion 發(fā)現(xiàn)在使用 Log4j 作為依賴項(xiàng)的 17840 個(gè)開源軟件包中，只有 7140 個(gè)升級(jí)到了安全版本。因此，其中 的60% 仍然容易受到 Log4Shell 的攻擊。

在 Shodan 上搜索特定類別的開源容器時(shí)，Rezilion 發(fā)現(xiàn)了超過 90000 個(gè)可能存在漏洞且面向互聯(lián)網(wǎng)的應(yīng)用程序，其中包含過時(shí)或易受攻擊的 Log4j版本。一個(gè)典型的例子是 Apache Solr，在網(wǎng)絡(luò)上共發(fā)現(xiàn)有1657 個(gè)公共部署，它仍在使用 Log4j-core-2.16.0-jar。顯然，最新的容器版本還沒有被所有用戶采用，所以在網(wǎng)絡(luò)上仍然存在數(shù)以萬計(jì)的攻擊面。

對(duì)那些使用過時(shí)且不再支持的 Log4j 1.2.17版本，包括 Atlassian Crucible、Apache zeppelin、Bitnami Kafka 和 Bitnami Spark。有一種誤解認(rèn)為 Log4Shell 不會(huì)影響舊版本分支，但事實(shí)并非如此。

Rezilion 認(rèn)為導(dǎo)致目前較差的更新狀況原因較為復(fù)雜，但包括了缺乏適當(dāng)?shù)穆┒垂芾砹鞒?，以及漏洞的可見性差等因素。Log4j 在生產(chǎn)環(huán)境中很難檢測(cè)到，一些企業(yè)組織不知道自己是否在使用，不知道他們使用的是哪個(gè)版本，也不知道哪些版本是安全的。

正如 CISA 所強(qiáng)調(diào)的，黑客并不關(guān)心漏洞的存在時(shí)間，他們只關(guān)心能否將漏洞帶入目標(biāo)設(shè)備。目前，一些 10 年前的漏洞仍然在野外被積極利用，而 Log4Shell 在目前看來頗有這方面的“潛質(zhì)”。因此，專家建議用戶掃描并確認(rèn)系統(tǒng)環(huán)境，找到正在使用的版本，如果是過時(shí)或易受攻擊的Log4j版本，務(wù)必盡快制定升級(jí)計(jì)劃。