7月14日，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)發(fā)布首份報(bào)告《回顧2021年12月的Log4j事件》，報(bào)告系統(tǒng)梳理了Apache Log4j漏洞的實(shí)際影響和未來(lái)的威脅。同時(shí)指出，Log4j 漏洞風(fēng)靡全球，而且會(huì)長(zhǎng)期存在，并將在未來(lái)多年引發(fā)持續(xù)風(fēng)險(xiǎn)。

一、漏洞發(fā)現(xiàn)和披露

從2021年11月全球知名開(kāi)源日志組件Apache Log4j被曝存在嚴(yán)重高危險(xiǎn)級(jí)別遠(yuǎn)程代碼執(zhí)行漏洞（具體見(jiàn)表1）以來(lái)，黑客已經(jīng)在嘗試?yán)么寺┒床?zhí)行惡意代碼攻擊，所有類型的在線應(yīng)用程序、開(kāi)源軟件、云平臺(tái)和電子郵件服務(wù)都可能面臨網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。攻擊者可以利用該漏洞遠(yuǎn)程。

根據(jù)業(yè)界眾多網(wǎng)絡(luò)安全公司的觀測(cè)，目前大多數(shù)Log4j漏洞利用主要是挖礦軟件，但攻擊者也在積極嘗試在易受攻擊的系統(tǒng)上安裝更危險(xiǎn)的惡意軟件。據(jù)外媒報(bào)道，漏洞發(fā)現(xiàn)以來(lái)，Steam、蘋果的云服務(wù)受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念游戲“Minecraft我的世界”數(shù)十萬(wàn)用戶被入侵。美聯(lián)社評(píng)論稱，這一漏洞可能是近年來(lái)發(fā)現(xiàn)的最嚴(yán)重的計(jì)算機(jī)漏洞。

表1  Log4j漏洞披露時(shí)間表

二、各方響應(yīng)

工業(yè)網(wǎng)絡(luò)安全廠商在監(jiān)測(cè)中已經(jīng)發(fā)現(xiàn)大量的漏洞利用嘗試和成功利用的現(xiàn)象。主要國(guó)家的網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)已紛紛發(fā)布預(yù)警，要求限期修復(fù)漏洞。

1. 各國(guó)政府積極響應(yīng)，發(fā)布警告應(yīng)對(duì)漏洞威脅

在漏洞爆出之后，主要國(guó)家政府及網(wǎng)絡(luò)安全監(jiān)管機(jī)構(gòu)已紛紛發(fā)布預(yù)警，要求限期修復(fù)漏洞。在中國(guó)，2021年12月13日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告，立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開(kāi)展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。在美國(guó)，2021年12月10日，美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局就該漏洞發(fā)出了緊急警報(bào)，并敦促各公司采取行動(dòng)。12月22日，美國(guó)CISA、FBI、NSA以及五眼聯(lián)盟的另外四個(gè)國(guó)家的網(wǎng)絡(luò)安全機(jī)構(gòu)當(dāng)?shù)貢r(shí)間12月22日發(fā)布聯(lián)合網(wǎng)絡(luò)安全咨詢公告，警告稱黑客正在“積極利用”最近在Apache日志庫(kù)log4j中發(fā)現(xiàn)的三個(gè)漏洞。除此之外，在漏洞爆出之后，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心整合了新的流程來(lái)改進(jìn)未來(lái)的漏洞管理指南，并在整個(gè)Log4j事件中加以利用。德國(guó)的網(wǎng)絡(luò)安全組織就該漏洞發(fā)出“紅色警報(bào)”，比利時(shí)考慮到與該漏洞有關(guān)的網(wǎng)絡(luò)攻擊，國(guó)防部關(guān)閉了部分計(jì)算機(jī)網(wǎng)絡(luò)。

2. 各安全公司積極排查，及時(shí)修補(bǔ)產(chǎn)品漏洞

各安全公司加緊排查其產(chǎn)品受影響程度并修補(bǔ)他們的產(chǎn)品，同時(shí)敦促用戶應(yīng)用這些更新，突顯及時(shí)解決該漏洞問(wèn)題的緊迫性和廣泛性。西門子在2021年12月13日發(fā)現(xiàn)其部分產(chǎn)品線中存在Apache Log4j漏洞，未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可能會(huì)利用該漏洞在易受攻擊的系統(tǒng)上執(zhí)行代碼。該公司15日更新的受上述兩個(gè)漏洞影響的產(chǎn)品多達(dá)35種。除了確定各種緩解措施外，西門子還建議用戶使用適當(dāng)?shù)臋C(jī)制保護(hù)對(duì)設(shè)備的網(wǎng)絡(luò)訪問(wèn)。為了在受保護(hù)的IT環(huán)境中操作設(shè)備，西門子建議根據(jù)西門子工業(yè)安全操作指南配置環(huán)境。另外一家自動(dòng)化巨頭施耐德電氣也在當(dāng)日咨詢報(bào)告中表示，將繼續(xù)評(píng)估Log4j漏洞如何影響其產(chǎn)品，并將在特定產(chǎn)品的緩解信息可用時(shí)通過(guò)其網(wǎng)絡(luò)安全支持門戶向客戶提供更新。知名工業(yè)網(wǎng)絡(luò)安全公司claroty在其2021年12月14日評(píng)估了漏洞對(duì)SCADA、ICS和OT的影響，其安全研究團(tuán)隊(duì)Tem82還致力于創(chuàng)建更多概念驗(yàn)證來(lái)復(fù)現(xiàn)漏洞，并期望有自動(dòng)化供應(yīng)商合作伙伴可以使用這些概念驗(yàn)證來(lái)測(cè)試他們的產(chǎn)品是否易受攻擊。2021年12月，思科對(duì)其150多款產(chǎn)品進(jìn)行排查，以尋找Log4j漏洞。到目前為止，思科已發(fā)現(xiàn)有三款產(chǎn)品存在該漏洞，并確定有23款產(chǎn)品沒(méi)有該漏洞。

三、深遠(yuǎn)影響

2021年年末爆發(fā)的Log4j 安全漏洞堪稱互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一，漏洞波及面和危害程度堪比2017年的“永恒之藍(lán)”漏洞。從爆發(fā)至今，Log4j漏洞影響的嚴(yán)重性、廣泛性已經(jīng)在各領(lǐng)域開(kāi)始顯現(xiàn)，并不斷加大。

1. 持續(xù)時(shí)間長(zhǎng)

在美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)發(fā)布首份報(bào)告《回顧2021年12月的Log4j事件》明確指出，Log4j 是一款開(kāi)源軟件，開(kāi)發(fā)者已經(jīng)將其集成到數(shù)百萬(wàn)個(gè)系統(tǒng)中。這種無(wú)孔不入、無(wú)處不在的軟件中的漏洞有能力影響全世界的公司和組織（包括政府）。自從2021年11月曝光的Log4j漏洞已成為一大“持續(xù)性流行漏洞”，將在未來(lái)多年引發(fā)持續(xù)風(fēng)險(xiǎn)，換言之，這種無(wú)所不在的軟件庫(kù)的未經(jīng)修復(fù)版本，將在未來(lái)十年或更長(zhǎng)時(shí)間內(nèi)繼續(xù)留存在各類系統(tǒng)當(dāng)中。同時(shí)，美國(guó)網(wǎng)絡(luò)安全審查委員會(huì)預(yù)測(cè)，鑒于 Log4j的普遍存在，在未來(lái)十年中，易受攻擊的版本仍將存在于系統(tǒng)中，我們將看到利用漏洞的方式不斷演變，所有組織都應(yīng)具備發(fā)現(xiàn)和升級(jí)易受攻擊軟件的能力，以及長(zhǎng)期維持這些漏洞管理能力的能力。

2.影響面廣

根據(jù)統(tǒng)計(jì)，有超過(guò)35,863個(gè)開(kāi)源軟件 Java 組件依賴于 Log4j，意味著超過(guò) 8% 的軟件包里至少有一個(gè)版本會(huì)受此漏洞影響。漏洞在依賴鏈中越深，修復(fù)步驟就越多。根據(jù)云安全專家評(píng)估，每秒有超過(guò) 1000次利用Log4j漏洞的嘗試。Log4j漏洞不僅影響直接使用該庫(kù)的基于Java的應(yīng)用程序和服務(wù)，還影響許多其他流行的依賴它的Java組件和開(kāi)發(fā)框架，包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、ApacheKafka。隨著危機(jī)的持續(xù)發(fā)酵，此次 Log4j 漏洞帶來(lái)的損失目前尚無(wú)法準(zhǔn)確評(píng)估。

2022年6月，美國(guó)CISA發(fā)布警告強(qiáng)調(diào)Log4Shell 漏洞目前已經(jīng)影響了 1800多種產(chǎn)品，產(chǎn)品安全團(tuán)隊(duì)需要額外注意識(shí)別任何包含風(fēng)險(xiǎn) Log4j包的軟件。當(dāng)前，黑客仍在利用Log4Shell漏洞，專門針對(duì)未打補(bǔ)丁的、面向Internet的VMware Horizon和Unified Access Gateway服務(wù)器。在《2021年終漏洞快速查看》報(bào)告中，CISA強(qiáng)調(diào)了Log4j漏洞具有廣泛影響的潛力，自報(bào)告發(fā)布以來(lái)，受影響的產(chǎn)品總數(shù)增加了 11.6%。隨著繼續(xù)跟蹤漏洞，受Log4j漏洞 影響的產(chǎn)品總數(shù)可能會(huì)增加。

3.危害性大

自2021年年底Log4j漏洞爆發(fā)以來(lái)， Mirai、Muhstik等多個(gè)僵尸網(wǎng)絡(luò)家族利用此漏洞進(jìn)行傳播。同時(shí)，該漏洞利用正在發(fā)生快速變異，繞過(guò)現(xiàn)有緩解措施，并吸引了越來(lái)越多的黑客攻擊者。Check Point的網(wǎng)絡(luò)安全研究人員警告說(shuō)，Log4j漏洞正在快速變異，已經(jīng)產(chǎn)生60多個(gè)更強(qiáng)大的變種，所有變種都在不到一天的時(shí)間內(nèi)產(chǎn)生。

2022 年 4 月以來(lái)，針對(duì) VMware Horizon 服務(wù)器的Log4j攻擊仍舊不斷持續(xù)且有增無(wú)減。朝鮮黑客組織 Lazarus 一直通過(guò)Log4j 遠(yuǎn)程代碼執(zhí)行漏洞，在未應(yīng)用安全補(bǔ)丁的 VMware Horizon虛擬桌面平臺(tái)中大肆利用 Log4j漏洞來(lái)部署勒索軟件及其他惡意程序包。2021年12月，比利時(shí)國(guó)防部網(wǎng)絡(luò)最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫(kù)log4j的巨大漏洞實(shí)施攻擊，國(guó)防部證實(shí)這次攻擊是成功利用了log4j的漏洞。

四、應(yīng)對(duì)措施

鑒于Log4j漏洞的普遍存在，考慮到Log4j漏洞的使用規(guī)模、利用該漏洞的容易程度以及對(duì)該漏洞的廣泛報(bào)道，該漏洞對(duì)數(shù)字生態(tài)系統(tǒng)的安全有重大影響。全球私營(yíng)和公共部門的合作伙伴應(yīng)采取措施積極應(yīng)對(duì)。

1.持續(xù)對(duì)Log4j 漏洞保持高度警惕

由于Log4j漏洞在今后若干年長(zhǎng)期存在，所有組織應(yīng)具備發(fā)現(xiàn)和升級(jí)易受攻擊軟件的能力，以及長(zhǎng)期維持這些漏洞管理的能力。所有組織都應(yīng)繼續(xù)主動(dòng)監(jiān)控和升級(jí)Log4j的易受攻擊版本，優(yōu)先應(yīng)用軟件升級(jí)，謹(jǐn)慎使用緩解措施，避免可能造成長(zhǎng)期暴露的錯(cuò)誤情況（例如，暴露易受攻擊面的配置錯(cuò)誤）。同時(shí)，運(yùn)用成熟的業(yè)務(wù)流程來(lái)防止易受攻擊版本的重新引入，采取基于風(fēng)險(xiǎn)的方法來(lái)補(bǔ)救Log4j漏洞，以便解決其他嚴(yán)重性漏洞。

2. 及時(shí)評(píng)估安全漏洞風(fēng)險(xiǎn)

根據(jù) Log4j漏洞的嚴(yán)重性，所有企業(yè)都需要快速評(píng)估其業(yè)務(wù)運(yùn)營(yíng)的潛在風(fēng)險(xiǎn)，并制定和執(zhí)行行動(dòng)計(jì)劃。當(dāng)前對(duì)Log4j漏洞事件做出最有效響應(yīng)的組織已經(jīng)擁有技術(shù)資源和成熟的流程，可以識(shí)別易受攻擊的產(chǎn)品資源、評(píng)估潛在風(fēng)險(xiǎn)。要降低Log4j和其他廣泛使用的開(kāi)源軟件中的漏洞給生態(tài)系統(tǒng)帶來(lái)風(fēng)險(xiǎn)的可能性，成熟可靠方法是確保代碼的開(kāi)發(fā)符合行業(yè)公認(rèn)的安全編碼實(shí)踐，并由安全專家進(jìn)行相應(yīng)的審核。

3. 加強(qiáng)漏洞的規(guī)范化管理

各組織要積極開(kāi)展開(kāi)源軟件安全動(dòng)員計(jì)劃，由 Linux基金會(huì)和開(kāi)放源碼安全基金會(huì)領(lǐng)導(dǎo)，呼吁業(yè)界采取行動(dòng)開(kāi)發(fā)軟件組件框架，以加快發(fā)現(xiàn)和響應(yīng)未來(lái)的漏洞。同時(shí)，組織應(yīng)對(duì)系統(tǒng)上運(yùn)行的軟件高風(fēng)險(xiǎn)漏洞進(jìn)行整體評(píng)估、匯總、分類和優(yōu)先級(jí)排序，從而來(lái)提高其漏洞響應(yīng)機(jī)制的成熟度。同時(shí)，各組織應(yīng)該建立一致的安全開(kāi)發(fā)流程，軟件安全評(píng)估和漏洞管理操作流程，以及規(guī)范補(bǔ)丁創(chuàng)建和協(xié)調(diào)披露機(jī)制。

五、結(jié)語(yǔ)

根據(jù)Gartner的相關(guān)統(tǒng)計(jì)，到 2025年，30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞，這將會(huì)導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)停止或關(guān)鍵型網(wǎng)絡(luò)物理系統(tǒng)停止。面對(duì)日益嚴(yán)峻的安全漏洞形勢(shì)，我國(guó)亟需加快網(wǎng)絡(luò)安全漏洞治理體系建設(shè)，提升我國(guó)關(guān)鍵基礎(chǔ)設(shè)施漏洞威脅防御水平，充分發(fā)揮漏洞預(yù)警管理在網(wǎng)絡(luò)空間安全管理中的重要作用。