12月17日,工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風(fēng)險(xiǎn)提示,提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時(shí)升級(jí)組件版本,以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
據(jù)悉,阿帕奇(Apache)Log4j2組件是基于Java語言的開源日志框架,由于性能好、利用門檻低,被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日,阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠(yuǎn)程代碼執(zhí)行漏洞(國(guó)外將該漏洞命名為L(zhǎng)og4Shell),該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控,進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,并將漏洞情況告知阿帕奇軟件基金會(huì)?;饡?huì)已將該漏洞嚴(yán)重性列為最高等級(jí)。
《中國(guó)電子報(bào)》記者從網(wǎng)絡(luò)安全公司奇信安了解到,目前Mirai、Muhstik等多個(gè)僵尸網(wǎng)絡(luò)家族,以及Minerd、HSMiner、HideShadowMiner、BlueHero等多個(gè)挖礦病毒家族正利用此漏洞進(jìn)行擴(kuò)散。數(shù)據(jù)安全平臺(tái)LunaSec透露,有證據(jù)表明Steam(游戲平臺(tái))以及蘋果公司的云服務(wù)皆已受到影響。網(wǎng)絡(luò)安全公司Palo AltoNetwork指出,推特和亞馬遜也受到了攻擊。此次高危漏洞帶來的安全風(fēng)險(xiǎn)已經(jīng)席卷全球,奧地利、新西蘭、美國(guó)、德國(guó)、中國(guó)等多國(guó)相關(guān)機(jī)構(gòu)相繼發(fā)出了安全警告。
該漏洞嚴(yán)重性列為最高等級(jí)
一般在評(píng)估漏洞危害程度時(shí)需考慮以下三個(gè)因素:攻擊者利用漏洞的難度、漏洞利用對(duì)目標(biāo)機(jī)器帶來的危害、漏洞的影響范圍。賽迪智庫網(wǎng)絡(luò)安全研究所助理研究院王偉潔對(duì)《中國(guó)電子報(bào)》記者介紹道:“阿帕奇漏洞被認(rèn)為是近年來最大的高危型計(jì)算機(jī)漏洞。首先,攻擊者通過JNDI(Java命名和目錄接口)注入攻擊的形式便可輕松遠(yuǎn)程執(zhí)行任何代碼,利用方式十分簡(jiǎn)單;其次,黑客可利用該漏洞直接獲得目標(biāo)機(jī)器的最高權(quán)限(root權(quán)限),導(dǎo)致設(shè)備遠(yuǎn)程受控,進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害;此外,該漏洞影響范圍極其廣泛,波及到全球數(shù)億臺(tái)網(wǎng)絡(luò)設(shè)備。”
據(jù)了解,阿帕奇工具幾乎存在于所有Java(計(jì)算機(jī)編程語言)應(yīng)用程序中,而全球有數(shù)以億計(jì)的設(shè)備安裝有Java程序,因此幾乎所有行業(yè)都會(huì)受到該漏洞影響。王偉潔認(rèn)為,阿帕奇漏洞對(duì)互聯(lián)網(wǎng)行業(yè)的影響程度較為嚴(yán)重,該漏洞帶來的不僅是黑客造成的資產(chǎn)損失或補(bǔ)救漏洞的經(jīng)濟(jì)投入,更嚴(yán)重的是由此造成的聲譽(yù)危機(jī)。另一位專家表示,普通個(gè)人用戶即便不會(huì)直接接觸漏洞,但其日常使用的網(wǎng)站服務(wù)、軟件系統(tǒng)等也會(huì)面臨不同程度的安全風(fēng)險(xiǎn)。
從當(dāng)前國(guó)內(nèi)外安全廠商披露的清單來看,目前檢測(cè)到利用漏洞的攻擊活動(dòng),最多的是挖礦木馬團(tuán)伙,然后是勒索軟件,也有針對(duì)高價(jià)值目標(biāo)的APT攻擊(高級(jí)持續(xù)性威脅)。多位業(yè)內(nèi)人士稱,此漏洞若得不到有效控制,危害程度堪比2017年的“永恒之藍(lán)”(“永恒之藍(lán)”是黑客團(tuán)體Shadow Brokers公布的網(wǎng)絡(luò)攻擊工具,利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。由“永恒之藍(lán)”改造而成的wannacry勒索病毒,致使美國(guó)、英國(guó)、俄羅斯、中國(guó)等在內(nèi)的至少150個(gè)國(guó)家、30萬名用戶中招,包括政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、能源企業(yè)、機(jī)場(chǎng)等在內(nèi)的諸多重要基礎(chǔ)設(shè)施被波及)。
漏洞帶來的影響將持續(xù)較長(zhǎng)時(shí)間
騰訊安全專家李鐵軍在接受《中國(guó)電子報(bào)》記者采訪時(shí)表示:“該漏洞之所以影響范圍如此廣泛,主要是由于Apache log4j組件的涉及面很廣,大量網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建在其基礎(chǔ)上,就像一棟建筑,如果基礎(chǔ)出現(xiàn)問題,可能影響全局。同時(shí),也正式因?yàn)樯婕懊鎻V,漏洞修復(fù)起來需要大量時(shí)間,而該組件又暴露了相關(guān)聯(lián)的其他高危漏洞,所以此次漏洞帶來的影響將持續(xù)較長(zhǎng)時(shí)間。”
阿帕奇Log4j2組件本身是一個(gè)開源項(xiàng)目。開源軟件提高了開發(fā)效率,加速了互聯(lián)網(wǎng)應(yīng)用的普及,但同時(shí)也引入較多的安全風(fēng)險(xiǎn)。“業(yè)內(nèi)之前對(duì)于開源組件的漏洞關(guān)注度遠(yuǎn)遠(yuǎn)不夠,需要加強(qiáng)審計(jì)。”李鐵軍指出。
公開數(shù)據(jù)顯示,84%的攻擊發(fā)生在應(yīng)用程序,其中又有70%源于各種開源軟件。根據(jù)國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急中心的統(tǒng)計(jì)數(shù)據(jù),開源軟件的漏洞數(shù)呈逐年遞增趨勢(shì)。
傳統(tǒng)的漏洞掃描引擎僅依據(jù)軟件名稱及版本號(hào)來確定是否存在漏洞。而實(shí)際上,開源軟件通常會(huì)有多個(gè)版本分支同時(shí)并行,比如GitLab(用于倉庫管理系統(tǒng)的開源項(xiàng)目)有社區(qū)版和企業(yè)版,Jenkins(開源的持續(xù)集成工具)有每周更新版和長(zhǎng)期支持版,同一個(gè)漏洞在不通的版本分支中實(shí)際的受影響狀態(tài)也不同。研究人員在實(shí)際驗(yàn)證中發(fā)現(xiàn),大多數(shù)鏡像都有漏洞,有些鏡像漏洞數(shù)多達(dá)幾百個(gè)??梢姡珳?zhǔn)識(shí)別漏洞并有針對(duì)性地對(duì)其進(jìn)行修復(fù)并非易事。
李鐵軍認(rèn)為:“用了開源組件,就需要特別關(guān)注版本升級(jí),防范供應(yīng)鏈攻擊。官方組件自身有可能出現(xiàn)漏洞,官方倉庫也有可能被不法分子上傳‘加工過’的版本,通常這兩種情況非安全專家都很難發(fā)現(xiàn),需要依賴安全廠商的服務(wù)來檢測(cè)風(fēng)險(xiǎn)。”
“各機(jī)構(gòu)安全團(tuán)隊(duì)需要克服諸多挑戰(zhàn)修復(fù)該漏洞,包括確定暴露的全部資產(chǎn)范圍、針對(duì)無法修補(bǔ)的系統(tǒng)尋求變通方法等。此外,攻擊者也不斷探索新的漏洞利用模式,目前該漏洞已經(jīng)出現(xiàn)的三個(gè)變體。因此,阿帕奇漏洞的影響可能會(huì)持續(xù)數(shù)十年時(shí)間。”王偉潔分析稱。
國(guó)內(nèi)多家企業(yè)發(fā)布安全方案
遭遇阿帕奇漏洞后,應(yīng)該采用哪些措施降低安全風(fēng)險(xiǎn)?王偉潔指出,
一是需盡快將使用了阿帕奇工具的程序更新至官方最新安全版本,不能及時(shí)升級(jí)的用戶需根據(jù)官方提示手工修改阿帕奇和Java參數(shù)配置;
二是使用殺毒軟件對(duì)攻擊流量進(jìn)行攔截。
三是禁止所有不必要的外連數(shù)據(jù)。奇安信安全專家提醒稱, Log4j作為日志組件,位于軟件供應(yīng)關(guān)系的較底層。因此供應(yīng)鏈對(duì)此漏洞的放大效應(yīng)將逐漸顯現(xiàn),相關(guān)廠商、用戶需密切關(guān)注其威脅發(fā)展情況。
李鐵軍指出:“尤其政企機(jī)構(gòu)需要盡快在網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)和應(yīng)用環(huán)境分級(jí)部署完整的解決方案,對(duì)服務(wù)器、終端、網(wǎng)絡(luò)流量等各層面進(jìn)行漏洞檢測(cè)和防御,消除安全短板,排除安全死角,防止黑客利用漏洞對(duì)網(wǎng)絡(luò)進(jìn)行攻擊破壞行動(dòng)。”另外,還有專家建議,廣大普通用戶也應(yīng)盡快對(duì)個(gè)人電腦進(jìn)行加固。
令人欣慰的是,針對(duì)此次漏洞,國(guó)內(nèi)多家安全企業(yè)已經(jīng)采取措施,積極提供相關(guān)安全解決方案。阿里云第一時(shí)間開始修復(fù)自家的相關(guān)受影響系統(tǒng),并發(fā)布了安全公告。奇安信也迅速推出了“一攬子”Log4j2漏洞防護(hù)方案,從底層代碼、網(wǎng)絡(luò)傳輸?shù)缴蠈討?yīng)用,全面覆蓋漏洞的發(fā)現(xiàn)、監(jiān)測(cè)、檢測(cè)和響應(yīng)處置等全生命周期。騰訊安全將該漏洞收錄至騰訊安全漏洞特征庫中,CODING 制品掃描基于該漏洞特征庫,對(duì)引用了受影響版本的 Log4j 2 制品進(jìn)行了精準(zhǔn)定位,并給出修復(fù)建議,同時(shí)禁止下載含有該安全漏洞的制品,最大限度減少漏洞蔓延。華為、新華三、安恒信息、綠盟科技、360等一眾廠商也相繼發(fā)布安全方案。
網(wǎng)絡(luò)安全仍需警鐘長(zhǎng)鳴
實(shí)際上,阿帕奇漏洞的出現(xiàn)并非偶然。根據(jù)Gartner的相關(guān)統(tǒng)計(jì),到 2025 年,30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞。安全漏洞總會(huì)出現(xiàn),無法根本上杜絕。在被發(fā)現(xiàn)之前,誰也不能推測(cè)其存在,也無法預(yù)料其后果。李鐵軍建議稱:“對(duì)于一般客戶而言,需要特別關(guān)注相關(guān)威脅情報(bào)信息;企業(yè)最好有專業(yè)安全運(yùn)維隊(duì)伍來做保障;政企機(jī)構(gòu)需要建設(shè)具有彈性的完整安全解決方案,去實(shí)時(shí)檢測(cè)、響應(yīng)、處置各類安全威脅;運(yùn)維人員更要高度關(guān)注高危漏洞信息,及時(shí)修補(bǔ)漏洞或采取相應(yīng)的緩解措施控制風(fēng)險(xiǎn)。”
防患于未然,做好前期預(yù)防工作非常重要。王偉潔認(rèn)為:“一方面,企業(yè)需要提高安全意識(shí),未雨綢繆,定期全面檢查企業(yè)辦公系統(tǒng)和應(yīng)用,發(fā)現(xiàn)該漏洞及相關(guān)變體后及時(shí)修復(fù),并且應(yīng)該主動(dòng)建立、嚴(yán)格實(shí)施完整的數(shù)據(jù)備份方案;另一方面,普通用戶需培養(yǎng)良好的網(wǎng)絡(luò)使用習(xí)慣,包括及時(shí)更新防病毒產(chǎn)品、定期進(jìn)行病毒掃描等。”
此外,國(guó)內(nèi)現(xiàn)有大量的系統(tǒng)、軟件都是基于開源架構(gòu) (不僅僅是阿帕奇),此次安全事件也為我們敲響了警鐘。業(yè)內(nèi)資深專家指出,未來在基于開源架構(gòu)打造軟件、構(gòu)建系統(tǒng)的同時(shí),應(yīng)該如何更好地保障系統(tǒng)安全、防范和控制軟件風(fēng)險(xiǎn),如何更好地利用和使用開源架構(gòu),這些問題需要產(chǎn)業(yè)鏈上的各參與方深入思考。
來源丨宋婧
編輯丨連曉東
美編丨馬利亞