Apache Log4j2引發嚴重安全漏洞

9日夜間，Apache Log4j2引發嚴重安全漏洞，疑似很多公司的服務器被掃描攻擊，一大批安全人員深夜修bug，堪稱“核彈級”漏洞。

經專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多余操作即可觸發該漏洞，使攻擊者可以遠程控制用戶受害者服務器，90%以上基于java開發的應用平臺都會受到影響。

log4j是Apache的一個開源項目，是一個基于Java的日志記錄框架。Log4j2是log4j的后繼者，被大量用于業務系統開發，記錄日志信息。很多互聯網公司以及耳熟能詳的公司的系統都在使用該框架。

據網友描述：“百度的主頁搜索被黑了，所有Java同學起床修bug，影響很大”。

此次Log4j2 遠程代碼執行漏洞，已經被攻擊者利用并公開擴散。觸發條件：只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

有網友表示：“可以說是災難性的漏洞，比之前的fastjson和shiro還要嚴重，這個漏洞估計在之后三四年內還會繼續存在”。

如果被攻擊，影響的范圍堪比2017年“永恒之藍”病毒，當年的WannaCry勒索病毒，致使美國、英國、俄羅斯、中國等至少150個國家，30萬名用戶中招。

雷峰網從奇安信集團了解到，根據安域云防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。奇安信應急響應中心已接到十余起重要單位的漏洞應急響應需求，已于12月9日晚間將漏洞信息上報了相關主管部門。補天漏洞響應平臺負責人介紹，12月9日深夜，僅一小時內就收到白帽黑客提交的百余條該漏洞的信息。

安全專家還表示，開源軟件安全治理是一項任重道遠的工作，需要國家、行業、用戶、軟件廠商都重視起來并投入才能達到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示："漏洞嚴重，建議排查所有系統依賴升級到log4j-2.15.0-rc1。業務系統可能沒有直接引用，但是旁路的日志、大數據等Java體系生態中基本上都有，仍然會被打。"

奇安信分析

截至發稿前，奇安信提供了該漏洞在國內的威脅和影響情況。

在漏洞威脅方面，根據奇安信網絡空間測繪平臺（Hunter）截至2021年12月10日的測繪數據，依據排名前10的Java組件統計分析，受Apache Log4j代碼執行漏洞影響的前十大省級單位（含直轄市、自治區、特別行政區）分別為北京市、廣東省、香港特別行政區、江蘇省、上海市、浙江省、湖北省、山東省、河南省、安徽省。

其中北京市受該漏洞影響最大，暴露在公網上的資產總數為1,763,977個，占北京市Web資產總數比例大于10%。

在實際生產環境，雖然很多系統并未使用Java，但后臺的服務中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java實現的開源組件，也會通過前臺的輸入產生實際影響。因此，實際影響面遠超想象。

在利用該漏洞的攻擊數量方面，根據奇安信司南平臺監測數據顯示，首次攻擊量級波動出現在12月9日下午16點，隨后趨于平靜。到凌晨0點開始，攻擊數量出現大幅度增加，并持續2個多小時。到10日上午9點和12點，攻擊數量再次出現兩個高峰。

對于疑似受到攻擊的網站數量，在12月9日下午開始增加，凌晨達到一次高峰，10日早晨9點左右，量級再次激增，10點鐘達到第二個高峰，12點達到第三個高峰，也是全天的最高峰。被攻擊的網站數量和攻擊次數的波峰時間基本吻合。 

奇安信安全專家表示，本次漏洞之所以影響范圍極大，其核心仍然是軟件供應鏈安全問題。由于該組件應用范圍十分廣泛，所有使用該組件的所有產品都會受到漏洞影響，因此對其下游造成的軟件供應鏈安全隱患巨大。 

奇安信司南平臺還顯示，本次受到攻擊行為的客戶分布非常廣泛，IT通信（互聯網）、高校、工業制造、金融、政府、醫療衛生、運營商等幾乎所有行業都受到波及，全球知名科技公司、電商網站等也未能幸免。其波及面和威脅程度，均堪比2017年的“永恒之藍”。  

專家建議

奇安信安全專家建議，廣大客戶請聯系廠商獲取修復后的官方版本，或者以下解決方案來精準防護該漏洞：