“互聯網破了個洞”

Java的Log4j2開源日志框架存在一個漏洞，影響整個互聯網的數字系統，讓全球“互聯網破了個洞”，成為今年(5年內？)以來最嚴重的安全漏洞。

中國時間從12月10日凌晨開始，各大安全廠家甚至直接凌晨1-2點喊你“起床”修復，這是迄今為止絕無僅有的。

先看2個評價：

• 前美國國家安全局精英黑客團隊成員杰克·威廉姆斯：這個漏洞極其嚴重，是一個被廣泛使用的庫中的RCE(遠程代碼執行)漏洞。
• 美國國家安全局網絡安全主管羅伯·喬伊斯：“log4j漏洞是一個重大的漏洞利用威脅，由于廣泛包含在軟件框架中，甚至NSA的GHIDRA也存在”(注：Ghidra是由美國國家安全局(NSA)研究部門開發的軟件逆向工程(SRE)套件，用于支持網絡安全任務)。

再看影響范圍，修復之前受影響的有：

NSA，谷歌，蘋果，騰訊， Steam，推特，百度，滴滴，京東，網易，亞馬遜，特斯拉，領英，Apache，IBM，PaloAlto，VMWare，CloudFlare，ghidra，UniFi，Elastic，Blender，Webex，Minecraft...(可能涉及成千上萬公司產品)。

所以我們稱之為“互聯網破了個洞”并非夸張。

Apache Log4j2 是一個基于 Java 的日志工具。這個工具重寫了Log4j框架，引入了很多豐富的特性。日志框架廣泛應用于業務系統開發中，用于記錄日志信息。雖然如今這種編程語言不太受消費者歡迎，但它仍然在全球企業系統和Web應用程序中得到廣泛使用。Log4j被全球數十億設備使用，或者是軟件供應鏈中不可或缺的一部分。

2021年11月24日，阿里云安全團隊正式向Apache報告了Apache Log4j2遠程代碼執行漏洞。由于Apache Log4j2的部分功能具有遞歸分析功能，攻擊者可以直接構造惡意請求觸發遠程代碼執行漏洞，從而控制他們。

漏洞利用不需要特殊配置。經阿里云安全團隊驗證，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受到影響。 

Log4Shell CVSSv3 嚴重性等級評分：10/10

漏洞級別：嚴重

影響面：廣泛 

攻擊者價值：高 

利用難度：超易 

通用修補建議（速、速、速修復）：

升級到最新版本 2.15.0-rc2 ：

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

本次漏洞阿里在11月24日提交報告，11月26日被分配CVE編號。但爆發點集中在12月9日POC被公開披露后(Cloudflare聲稱第一次看到了漏洞的利用在2021-12-01，表明至少在POC公開披露前9天就已經存在被利用)，美國NVD發布日期：2021年12月10日(中國時間12月11日)。

雖然當天無補丁，但國內安全廠家在10日凌晨通宵率先公開緩解措施，在本次漏洞預警和修復上完全扮演了引領世界的角色，我們為此點贊！

目前黑客已經在嘗試利用它，研究人員警告說，即使出現修復程序，，該漏洞可能會在全球范圍內產生嚴重影響。全球安全響應人員正在爭先恐后地修補該漏洞，該漏洞很容易被利用來遠程控制易受攻擊的系統。與此同時，黑客正在積極地在互聯網上掃描受影響的系統。一些人已經開發出可以自動嘗試利用該漏洞的工具，以及可以在適當條件下由一個易受攻擊的系統獨立演變成到另一個世界級蠕蟲。

所以速、速、速修復！