Log4j漏洞CVE-2021-44228披露后一年，對該漏洞的攻擊并未停止

2021年11月Apache軟件基金會披露Log4j漏洞已過1年，盡管針對該漏洞本身披露的攻擊數(shù)量遠(yuǎn)低于預(yù)期，但它仍對企業(yè)組織構(gòu)成重大威脅。

安全研究人員表示，仍有很大一部分系統(tǒng)未針對該漏洞進(jìn)行修補(bǔ)，組織在發(fā)現(xiàn)、修復(fù)和防止該漏洞上仍面臨挑戰(zhàn)。

Contrast Security的首席安全信息官 David Lindner說表示："Log4j被用于近64%的Java應(yīng)用程序，而其中只有50%的應(yīng)用程序已經(jīng)更新到完全固定的版本，這意味著攻擊者將繼續(xù)針對它發(fā)起入侵。至少目前，攻擊者仍在繼續(xù)尋找通過Log4j進(jìn)行攻擊的途徑。

不斷遭受攻擊，但比預(yù)期的要少很多

Log4j漏洞（CVE-2021-44228），通常被稱為Log4 Shell，存在于 Log4j 的 Java 命名和目錄接口 （JNDI） 函數(shù)中，用于數(shù)據(jù)存儲和檢索。它為遠(yuǎn)程攻擊者提供了一種非常簡單的方法來控制易受攻擊的系統(tǒng) ， 考慮到Log4J幾乎被用于每個(gè)Java應(yīng)用程序環(huán)境。安全研究人員認(rèn)為它是近年來最具威脅的漏洞之一，因?yàn)樗钠毡榇嬖谝约肮粽呖梢韵鄬θ菀桌盟?br />
在過去一年，有許多關(guān)于攻擊者利用該漏洞作為初始訪問目標(biāo)網(wǎng)絡(luò)的方式進(jìn)行報(bào)道。其中，許多攻擊涉及來自朝鮮、伊朗和其他國家的由國家支持的高級持續(xù)威脅 （APT） 組織。例如，去年11月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說，一個(gè)由伊朗政府支持的APT組織利用未打補(bǔ)丁的VMware Horizon服務(wù)器中的Log4j漏洞，在聯(lián)邦網(wǎng)絡(luò)上部署了加密軟件和憑證采集器。此外，關(guān)于朝鮮Lazarus Group使用相同的載體在目標(biāo)系統(tǒng)上部署后門分發(fā)自己的后門的警告以及微軟等其他公司也報(bào)告觀察到伊朗的磷組織等國家行為使用Log4在受感染的系統(tǒng)上投擲反向炮彈。

盡管還有其他一些關(guān)于有經(jīng)濟(jì)動機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙利用Log4j的報(bào)道， 但公開報(bào)道的涉及Log4的破壞事件的實(shí)際數(shù)量仍然較低，特別是與涉及ProxyLogon和ProxyShel等Exchange Server漏洞的事件相比。Tenable公司的首席安全官Bob Huber說，相比于該漏洞的簡單性和普遍的攻擊路徑，報(bào)告的攻擊規(guī)模和范圍出乎意料地低于預(yù)期。Huber說：直到近期，我們才看到一些有針對性的重要報(bào)道，如最近CISA的民族性國家活動。

威脅一直都在，未曾減弱

安全研究人員指出，這并不意味著Log4j的威脅在過去一年中已經(jīng)減弱。

首先，很大一部分企業(yè)仍然像一年前一樣容易受到威脅。根據(jù)Tenable最近進(jìn)行的一項(xiàng)與該漏洞有關(guān)的遙測分析顯示，截至到10月1日，72%的企業(yè)容易受到Log4j的攻擊，全球僅有28%的組織已經(jīng)對該漏洞進(jìn)行了全面修復(fù)。但當(dāng)這些企業(yè)在向其環(huán)境中添加新的資產(chǎn)時(shí)，經(jīng)常又一次地遭到Log4j的漏洞攻擊。

在許多情況下（實(shí)際上是 29%），服務(wù)器、Web 應(yīng)用程序、容器和其他資產(chǎn)在初始修復(fù)后不久就容易受到 Log4j 的攻擊。

Huber說：假設(shè)企業(yè)在軟件的構(gòu)建管道中建立修復(fù)，那么再一次地遭到Log4j漏洞攻擊的概率會減少。是否會再一次地遭到Log4j漏洞攻擊很大程度上取決于一個(gè)企業(yè)的軟件發(fā)布周期。

此外，盡管網(wǎng)絡(luò)安全社群對這個(gè)漏洞的認(rèn)識幾乎無處不在，但由于應(yīng)用程序如何使用Log4j，在許多企業(yè)中仍然很難找到有漏洞的版本。Sonatype公司首席技術(shù)官Brian Fox說，一些應(yīng)用程序可能將開源日志組件作為其應(yīng)用程序的直接依賴項(xiàng)，而在其他情況下，一些應(yīng)用程序可能將Log4j作為一個(gè)交叉依賴項(xiàng)或另一個(gè)依賴項(xiàng)的依賴。

Fox說：由于過渡性依賴是從你的直接依賴項(xiàng)的選擇中引入的，它們可能并不總是被你的開發(fā)人員所了解或直接看到。

Fox說，當(dāng)Apache基金會首次披露Log4Shell時(shí)，公司不得不發(fā)出成千上萬的內(nèi)部電子郵件，在電子表格中收集結(jié)果，并遞歸掃描文件系統(tǒng)。這不僅僅花費(fèi)了公司寶貴的時(shí)間和資源來修補(bǔ)該組件，而且延長了該漏洞的惡意影響程度。

來自Sonatype維護(hù)的Maven Central Java倉庫的數(shù)據(jù)顯示，目前35% 的 Log4 下載仍來自該軟件的易受攻擊版本。許多公司甚至在開始響應(yīng)之前仍在嘗試建立他們的軟件清單，并且沒有意識到傳遞依賴性的影響。

根據(jù)上述所有的問題，美國國土安全部審查委員會今年早些時(shí)候得出結(jié)論：Log4是一個(gè)地方性的安全風(fēng)險(xiǎn)，企業(yè)將需要與之抗衡多年。委員會成員評估說，Log4j的脆弱實(shí)例將在未來許多年里留在系統(tǒng)中，并使企業(yè)面臨攻擊的風(fēng)險(xiǎn)。

正面的影響

跟蹤該漏洞的安全研究人員表示，Log4j的積極成果是它引起了人們對軟件構(gòu)成分析和軟件材料清單（SBOM）等實(shí)踐的高度關(guān)注。企業(yè)在確定他們是否有漏洞或在他們的環(huán)境中可能存在的漏洞時(shí)所面臨的挑戰(zhàn)，促進(jìn)了人們更好地理解對其代碼庫中所有組件的可見性需要，特別是那些來自開源和第三方的組件。

ReversingLabs的CISO Matthew Rose說：對Log4J問題的調(diào)查再次證實(shí)，除了跟上DevOps速度的SBOMs之外，還需要更好的軟件供應(yīng)鏈證明。應(yīng)用安全和架構(gòu)團(tuán)隊(duì)已經(jīng)意識到，僅僅在源代碼、API或開放源碼包等部分尋找風(fēng)險(xiǎn)是不夠的。他們現(xiàn)在意識到，全面了解應(yīng)用程序的架構(gòu)與尋找SQLI或跨站腳本錯(cuò)誤（XSS）一樣重要。