Log4j 漏洞風(fēng)波暫平，但下一場(chǎng)暴雷可能已經(jīng)在路上。

過(guò)去這一年，Log4j 頻頻暴雷。新年伊始，很多朋友可能覺(jué)得 Log4j 這事兒已經(jīng)過(guò)去了。不，還沒(méi)完呢。

2021 年，甚至很多人還根本沒(méi)聽(tīng)說(shuō)過(guò) Apache Log4j 這一開(kāi)源 Java 日志記錄庫(kù)。但它確實(shí)在無(wú)數(shù)應(yīng)用程序中發(fā)揮著作用，包括各類(lèi) Apache 項(xiàng)目（Flink、Flume、Hadoop、Kafka、Solr、Spark 和 Struts 等），再到 Apple iCloud、Elastic LogStash、Twitter 以及眾多 VMware 程序。就連《我的世界》游戲里都有它的身影。但是，又能如何？這只是個(gè)友善無(wú)害的日志記錄程序……然后，麻煩就來(lái)了。

(資料圖片僅供參考)

Apache 基金會(huì)于 2021 年 12 月 4 日悄悄發(fā)布了針對(duì) Log4j 漏洞的補(bǔ)丁，可幾乎沒(méi)人注意到。后來(lái)，Mojang Studios 為其熱門(mén)游戲《我的世界》推出了針對(duì)零日漏洞 CVE-2021-44228（又名 Log4Shell）的修復(fù)補(bǔ)丁，這才讓大家意識(shí)到問(wèn)題的嚴(yán)重性。事實(shí)證明，這個(gè)漏洞不僅易被利用，而且攻擊者可以全面控制目標(biāo)服務(wù)器。

嚴(yán)重程度？我打 10 分！

那問(wèn)題到底有多嚴(yán)重？根據(jù)國(guó)家漏洞數(shù)據(jù)庫(kù)（NVD）的統(tǒng)計(jì)，其 CVSSv3 得分為 10.0。有些朋友可能不清楚，嚴(yán)重度評(píng)分是從 0.1 到 10.0，就是說(shuō) Log4Shell 得了個(gè)最高分。這一零日漏洞的影響甚至引起了白宮方面的關(guān)注。總之，出事了，出大事了！

再來(lái)看 Check Point 的數(shù)據(jù)，截至 2021 年 12 月 13 日，也就是漏洞披露后的 72 小時(shí)，全球已經(jīng)出現(xiàn)超 80 萬(wàn)次利用嘗試。安全公司 Nextron Systems 的研究主管 Florian Roth 發(fā)布推文稱(chēng)，“#Log4Shell 不僅僅是個(gè) RCE（遠(yuǎn)程代碼執(zhí)行）零日漏洞，更是一個(gè)會(huì)在各種軟件產(chǎn)品上衍生出成百上千種其他零日漏洞的缺陷。它堪稱(chēng)零日漏洞中的集束炸彈?！?/p>

但，不是補(bǔ)丁很快就發(fā)布了嗎？到 2021 年 12 月 20 日，Log4j 2.17.0 就已經(jīng)修復(fù)了主要和次要問(wèn)題。所以，這事應(yīng)該過(guò)去了才對(duì)呀。

沒(méi)那么簡(jiǎn)單

事實(shí)證明，Log4j 在軟件代碼中無(wú)處不在。更糟糕的是，即使是現(xiàn)在，很多人都無(wú)法判斷自己的代碼中是否還殘留著易受攻擊的 Log4j 版本。

到 2022 年 1 月，微軟警告稱(chēng)民族國(guó)家黑客和網(wǎng)絡(luò)犯罪分子仍在利用 Log4j 漏洞對(duì)目標(biāo)系統(tǒng)植入惡意軟件。與此同時(shí)，Check Point 研究人員發(fā)現(xiàn)了與伊朗有關(guān)的威脅團(tuán)伙 APT35，其利用 Log4j 漏洞部署基于 PowerShell 的模塊化惡意軟件。同樣的策略至今仍然存在。微軟團(tuán)隊(duì)還發(fā)現(xiàn)另一伙來(lái)自中國(guó)的黑客，他們?cè)噲D利用某些 VMware Horizon 版本中的漏洞來(lái)安裝 Night Sky 勒索軟件。

當(dāng)然，“平民”一點(diǎn)的詐騙分子也在利用這個(gè)漏洞散播加密挖礦惡意軟件。安全漏洞被用于竊取非法經(jīng)濟(jì)所得，聽(tīng)起來(lái)多么合乎邏輯。

2022 年 12 月初，網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）透露稱(chēng)，黑客仍在使用 Log4Shell。

72% 的組織仍易受到攻擊

根據(jù)安全公司 Tenable 的說(shuō)法，“截至 2022 年 10 月 1 日，72% 的組織仍易受到 Log4Shell 漏洞的攻擊。”為什么會(huì)這樣？“在全面修復(fù)之后，仍有近三分之一（29%）的資產(chǎn)中再次出現(xiàn)了 Log4Shell 漏洞?！?/p>

簡(jiǎn)單來(lái)說(shuō)，原本的代碼確實(shí)修復(fù)了，但之后有人引入了“新代碼”，而新代碼里又包含舊的 Log4j 版本。然后，漏洞就又復(fù)活了。

Tenable 公司首席安全官 Bob Huber 強(qiáng)調(diào)，“對(duì)于普及度如此之高的漏洞，其實(shí)已經(jīng)很難完全修復(fù)。更重要的是，漏洞修復(fù)絕不是「一勞永逸」的過(guò)程。雖然組織可能在某個(gè)時(shí)刻實(shí)現(xiàn)了完全修復(fù)，但隨著將新資產(chǎn)添加到業(yè)務(wù)環(huán)境當(dāng)中，Log4Shell 可能會(huì)一次又一次反復(fù)出現(xiàn)。根除 Log4Shell 是一場(chǎng)持續(xù)斗爭(zhēng)，要求組織不斷評(píng)估環(huán)境中的缺陷及其他已知漏洞?！?/p>

依賴(lài)項(xiàng)、依賴(lài)項(xiàng)，還是依賴(lài)項(xiàng)

但這真的可能嗎？Tenable 并沒(méi)有深入探討，可 Endor Labs 的 Station 9 發(fā)布了一份“依賴(lài)項(xiàng)管理狀態(tài)”研究報(bào)告，也許給出了一點(diǎn)啟示。在很多廠商的開(kāi)源代碼庫(kù)中，95% 的漏洞并非源自開(kāi)發(fā)者的主動(dòng)選擇，而是被間接引入了項(xiàng)目之內(nèi)。

Endoir Labs 聯(lián)合創(chuàng)始人兼 CEO Varun Badhwar 表示，“從部分指標(biāo)來(lái)看，開(kāi)發(fā)者每在軟件項(xiàng)目中引入一個(gè)依賴(lài)項(xiàng)，平均被同時(shí)傳遞進(jìn)來(lái)的其他依賴(lài)項(xiàng)多達(dá) 77 到 78 個(gè)?！币虼?，“實(shí)際發(fā)現(xiàn)的漏洞有 95% 都源自這些傳遞的依賴(lài)項(xiàng)，也就是那些「搭便車(chē)」的乘客。我們需要在環(huán)境中跟蹤所有依賴(lài)項(xiàng)，并了解哪些應(yīng)用程序究竟在使用哪些軟件包?！?/p>

于是乎，軟件物料清單（SBOM）和軟件工件供應(yīng)鏈級(jí)別（SLSA）變得空前重要。如果沒(méi)有二者的保障，企業(yè)在部署代碼前根本無(wú)法評(píng)判其中包含著什么。

根據(jù) Tenable 的統(tǒng)計(jì)，截至 2022 年 10 月 1 日，全球有 28% 的組織已經(jīng)完全修復(fù)了 Log4Shell，較 2022 年 5 月提高了 14%。但這還遠(yuǎn)遠(yuǎn)無(wú)法令人安心。

如同一場(chǎng)流行病

Thales 公司首席產(chǎn)品安全官 Bob Burns 表示，Log4j 就如同“一場(chǎng)流行病，將在未來(lái)幾年內(nèi)持續(xù)保持威脅和傳播力。”這也引發(fā)了人們對(duì)于開(kāi)源軟件底層安全的擔(dān)憂(yōu)。當(dāng)然，從之前震驚全球的 SolarWinds 事件來(lái)看，專(zhuān)有軟件也同樣談不上可靠。

關(guān)于專(zhuān)有軟件安全的問(wèn)題，安全廠商 ReversingLabs 的軟件保險(xiǎn)布道師 Charlie Jones 預(yù)計(jì)，Log4Shell 造成的影響可以與 MS-17-10 相媲美。MS-17-10 也就是大名鼎鼎的微軟“永恒之藍(lán)”SMB 漏洞，曾直接催生出 NotPetya 和 WannaCry 擦除惡意軟件。而且，“Log4Shell 造成的挑戰(zhàn)比 MS-17-10 還更復(fù)雜，因?yàn)槠渫簧钋对趹?yīng)用程序的依賴(lài)項(xiàng)內(nèi)，因此難以用標(biāo)準(zhǔn)工具快速加以識(shí)別?！?/p>

Log4j 帶來(lái)的真正教訓(xùn)是，哪怕我們努力想要清除和修復(fù)，首先也得搞清楚程序里到底有些什么。在這個(gè)影響軟件供應(yīng)鏈根基的問(wèn)題被自動(dòng)化工具攻克之前，預(yù)計(jì)將有更多由 Log4j 引發(fā)的問(wèn)題出現(xiàn)。我們暫時(shí)能做的，唯有祈禱麻煩小一點(diǎn)、影響弱一點(diǎn)。

原文鏈接：

https://thenewstack.io/one-year-of-log4j

關(guān)鍵詞： 惡意軟件 應(yīng)用程序 我的世界