12月9日晚间,一个被视作“核弹级”的Apache Log4j2远程代码执行漏洞细节被公开,该漏洞无需特殊配置即可被黑客利用。经验证,受影响的包括Apache Struts2、Apache Solr、Apache Druid、Apache Flink。
国内网络安全厂商经过一个不眠夜之后,纷纷发布相关信息向用户发出警示,安全419也就此事采访了国内部分安全厂商和资深安全专家,对本次漏洞事件进行了梳理。
01关于漏洞
腾讯安全告诉我们,Apache Log4j2是一个基于Java的日志记录工具,该工具重写了Log4j框架,并且引入了大量丰富的特性。本次被公开的Apache Log4j2中存在的JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。
360政企安全对此回应称,360漏洞云团队12月9日在网上监测到Apache Log4j任意代码执行漏洞正在被广泛利用,经安全专家复现研判,该漏洞利用方式简单,危害严重,建议用户及时作出补救措施。
02严重程度
对于此次漏洞影响范围,奇安信向我们介绍称,该漏洞几乎影响所有行业,90%以上基于java开发的应用平台都会受到影响。包括全球多家知名科技公司、电商网站等,漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。
安全419进一步了解获悉,截至12月10日中午12点,根据奇安信安域云防护的监测数据显示,已发现近1万次在野利用该漏洞的攻击行为。与此同时,奇安信补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。
腾讯安全判定漏洞等级为最高级的10级,认为该漏洞利用门槛低,影响范围极广,危害极大,建议立即升级到最新版本。
白帽社区火线安全表示,该漏洞利用成本极低危害极大,同时认为漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面。
漏洞优先级安全厂商零零信安通过研判,更是直接给该漏洞严重程度作出“100分”评级,认为其影响极其深远。
03修复措施
Apache官方已发布补丁,受影响(版本为2.0 ≤ Apache Log4j <= 2.14.1)的用户需尽快升级到安全版本Apache log4j-2.15.0-rc2。
补丁下载地址:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
(注.官方12月7日曾发布rc1版本,但被验证存在被绕过风险,rc2版本为最新修复版本)
04防范建议
随着漏洞攻击被广泛监测,国内各大网络安全厂商纷纷发声,安全419总结发现:
第一、几乎所有主流安全厂商的防火墙类产品、云WAF等防护产品,陆续已对该漏洞提供了防御支持,并进一步同步支持到基于流量监测的平台型安全产品当中;
第二、大部分安全厂商除了升级安全产品提供防护,均以安全服务形式第一时间通知相关客户,相关资产扫描检测类产品已升级检测能力,支持对现有资产深层研判。
根据部分专家的观点,此次漏洞影响面甚广,采用专业网络安全厂商的安全产品在今后会有更及时的安全保障。
05本质问题
奇安信向安全419表示,建议企业首先需要做的是梳理自身所使用的软件资产,检测其中是否使用开源组件、影响哪些资产、影响程度如何,判断受影响资产应修复到哪个版本,其它关联组件是否受影响等,最后着手修复和防御后续类似攻击。
安全专家还表示,开源软件安全治理是一项任重道远的工作,需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。
06不同声音
通过对本次漏洞事件安全419还采访多位资深安全专家,他们除了给出本次漏洞相关的个人见解,我们发现还会有不同的声音,大多从国家最新实施的《网络产品安全漏洞管理规定》角度出发。
《网络产品安全漏洞管理规定》第九条强调:从事网络产品安全漏洞发现、收集的组织或者个人不得在网络产品提供者网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
“这是《网络产品安全漏洞管理规定》实施以来,行业首次披露重量级安全漏洞,虽然后期逐渐呈现集体发声的方式,但从事件脉络来看,部分厂商或个人存在违背规定相关条款嫌疑。”
“漏洞造成影响极其深远,在未来可见范围内,会不断加入新的攻击者,攻守双方会上演多轮对抗,安全厂商过早披露可能只会让形势更加严重。”
“很难定义此次安全厂商集体发声(披露)是会对安全有所提升,还是会进一步恶化,因为没有更大的声音传递,很多企业特别是中小企业他们可能压根不会知道,那么也就可能没有任何攻击抵御能力。”
“安全厂商可以与客户1对1沟通,但是个别厂商或个人公开发表POC或EXP的行为让人不解。”更有行业人士表示,各厂商因为此事件披露疯狂“内卷”的做法,或迎来后面《漏洞管理规定》的“秋后算账”。
以上为部分安全专家在接受安全419采访时发表的个人观点,供大家参考,关于此事件及其相关后续进展,我们仍会持续关注。