整理 | 鄭麗媛
出品 | CSDN(ID:CSDNnews)
翻翻去年此時的朋友圈,相信不少 Java 程式員又能回想起,去年被 Log4j 漏洞支配的一周:有邊吃飯邊修 Bug 的、有夜裡熬夜打更新檔的、還有周末一通電話就被抓去加班的…
當時,知名網絡安全解決方案提供商 Check Point 曾預測,由于 Log4j 應用範圍甚廣,該漏洞很可能在未來幾年内也将一直存在——如今看來,是一語成谶了。
據外媒 Wired 報道,在 Log4j 漏洞爆發一年之後,如今從 Apache 資源庫 Maven Central 和其他資源庫伺服器下載下傳的 Log4j 元件中,仍有超過四分之一是不安全的 Log4j 版本。
一年前的“史詩級”、“核彈級”高危漏洞
每年,安全研究人員都能發現許多亟待解決的關鍵漏洞,而 Log4j 漏洞能被稱作“史詩級”漏洞,證明它并不尋常。
作為一款全球知名的開源 Java 日志架構,Log4j 被大量主流開源架構采用,包括但不限于 Apache Struts2、Apache Solr、Apache Druid、Apache Flink 等,幾乎應用于整個網際網路行業的“半壁江山”——當然,這都是在 Log4j 漏洞爆發後,人們才知道的。
受漏洞影響的主要是 Log4j 2.14.1 及以下版本,即當使用者使用這些版本來處理日志時,漏洞會對使用者輸入的内容進行特殊處理,攻擊者可在 Log4j 中構造特殊請求來觸發遠端代碼執行,包括安裝惡意軟體或發起其他數字攻擊。
漏洞爆發後,伺服器業務(Steam、iCloud、Minecraft 等)被嚴重影響,《我的世界》一度有數十萬使用者被入侵,阿裡雲、鬥象科技、綠盟科技、默安科技、奇安信等衆多安全廠商迅速釋出危害通報,Check Point 更是統計得出,近漏洞爆發的前 4 天,全球就有近一半企業是以受到了黑客的試圖攻擊。
誠如前 Log4j 開發者、現 Apache 軟體基金會副總裁 Christian Grobmeier 當時所說:“蘋果被波及、Twitter 也受到了影響,然後我才意識到居然有這麼多人在使用它:基本上是半個世界,甚至更多,這太瘋狂了。”
在漏洞被發現之前,沒有人料想到,這麼一個基于 Java 的日志架構,影響範圍竟如此之廣——由于觸發簡單、攻擊難度低、影響人群廣泛,Log4j 漏洞也被業内稱為“史詩級”、“核彈級”高危漏洞。
一年過後,Log4j 漏洞依然潛伏在各個地方
值得慶幸的是,因為這個漏洞的嚴重程度,也引起了多方關注:Apache 方面迅速釋出了 Log4j 漏洞更新檔,程式員群體也火速展開了一場修複計算機系統的全球“競賽”——在大多消費者沒有受到影響的背後,是他們在背後夜以繼日地緊急修複,與攻擊者拼速度。
Apache 軟體基金會主席 David Nalley 贊歎道:“在短時間内,我們就進行了修複,這真的很棒。”不過 David Nalley 指出,這個誇贊可能僅限于漏洞爆發的初期,并不适用于一年後的如今:“我很想說我們完美地處理了它,但現實并非如此。”
距離 Log4j 漏洞爆發,已經過去了一年,而它依然潛伏在各個地方,有的是一直存在還未修複,有的是新下載下傳的 Log4j 仍是有漏洞的版本。
- 一直未修複
程式員在修複漏洞時,自然會優先處理影響最大、最為嚴重的部分。相比之下,那些不那麼嚴重的就先暫且擱置,總想着等日後有時間了再慢慢疊代。但現實情況是,對于大多數程式員來說,這個“有時間了”的情況并不容易等到。
再者,很多情況下進行漏洞修複,公司也需要付出不少成本,是以在情況可控且無傷大雅的情況下,這一部分的漏洞修複工作也是能拖則拖。
除此之外,開源軟體供應鍊也是一個重要原因。David Nalley 表示:“通過下載下傳量,我們知道 Log4j 被廣泛部署,但依舊很難完全掌握,因為它是開源的。”很多情況下,一個組織或企業購買或部署軟體時,并不清楚其中具體包含了哪些其他元件,是以也很難意識到 Log4j 漏洞的存在及其修複的緊迫性。
- 仍下載下傳有漏洞的 Log4j 版本
這一情況可能與 Apache 當初釋出的多個漏洞更新檔有所關聯。當時,Apache 針對漏洞緊急釋出了 Log4j 2.15,該版本預設禁用了部分容易被黑客利用的 Java 庫主要功能,但很快便被攻擊者破解,迫使 Apache 又釋出了多個疊代版本,給開發者造成了一定混亂。
如開頭所說,從 Apache 資源庫 Maven Central 和其他資源庫伺服器下載下傳的 Log4j 元件中,仍有超過四分之一(25%)是不安全的 Log4j 版本。
對于這個資料,軟體供應鍊公司 Sonatype 的聯合創始人兼首席技術官 Brian Fox 分析:“當人們選擇不安全的開源軟體元件時,大多數情況下都已經有一個可用的修複更新檔了。我真的很震驚這個數字,唯一的解釋隻能是人們真的不了解他們的軟體裡到底有什麼。”
“Log4j 漏洞将會是未來十年引發資料洩露事件的一個根本原因”
基于以上的各種原因,現在很可能出現的一種情況是:程式員在積極地建構和維護系統或軟體,但不論他們再怎麼努力,隻要 Log4j 漏洞還在,攻擊者便能輕而易舉地入侵。
對此,軟體供應鍊安全公司 Chainguard 的首席執行官 Dan Lorenc 預測:“Log4j 漏洞将會是未來十年引發資料洩露事件的一個根本原因——畢竟之前隻要用一個 Log4j 元件就會有漏洞。”
同時,研究人員也發出警告:“Log4j 漏洞仍存在于全球很多系統中,而攻擊者早晚會成功利用到它。”是以,雖然 Log4j 漏洞的爆發已過去一年,建議開發者可排查在 Java 應用中是否引入了 Log4j 元件,若存在則立即進行安全排查并更新至安全版本。
參考連結:https://www.wired.com/story/log4j-log4shell-one-year-later/