7月14日,美国网络安全审查委员会发布首份报告《回顾2021年12月的Log4j事件》,报告系统梳理了Apache Log4j漏洞的实际影响和未来的威胁。同时指出,Log4j 漏洞风靡全球,而且会长期存在,并将在未来多年引发持续风险。
一、漏洞发现和披露
从2021年11月全球知名开源日志组件Apache Log4j被曝存在严重高危险级别远程代码执行漏洞(具体见表1)以来,黑客已经在尝试利用此漏洞并执行恶意代码攻击,所有类型的在线应用程序、开源软件、云平台和电子邮件服务都可能面临网络安全风险。攻击者可以利用该漏洞远程。
根据业界众多网络安全公司的观测,目前大多数Log4j漏洞利用主要是挖矿软件,但攻击者也在积极尝试在易受攻击的系统上安装更危险的恶意软件。据外媒报道,漏洞发现以来,Steam、苹果的云服务受到了影响,推特和亚马逊也遭受了攻击,元宇宙概念游戏“Minecraft我的世界”数十万用户被入侵。美联社评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。
表1 Log4j漏洞披露时间表
二、各方响应
工业网络安全厂商在监测中已经发现大量的漏洞利用尝试和成功利用的现象。主要国家的网络安全监管机构已纷纷发布预警,要求限期修复漏洞。
1. 各国政府积极响应,发布警告应对漏洞威胁
在漏洞爆出之后,主要国家政府及网络安全监管机构已纷纷发布预警,要求限期修复漏洞。在中国,2021年12月13日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。在美国,2021年12月10日,美国国土安全部网络安全与基础设施安全局就该漏洞发出了紧急警报,并敦促各公司采取行动。12月22日,美国CISA、FBI、NSA以及五眼联盟的另外四个国家的网络安全机构当地时间12月22日发布联合网络安全咨询公告,警告称黑客正在“积极利用”最近在Apache日志库log4j中发现的三个漏洞。除此之外,在漏洞爆出之后,英国国家网络安全中心整合了新的流程来改进未来的漏洞管理指南,并在整个Log4j事件中加以利用。德国的网络安全组织就该漏洞发出“红色警报”,比利时考虑到与该漏洞有关的网络攻击,国防部关闭了部分计算机网络。
2. 各安全公司积极排查,及时修补产品漏洞
各安全公司加紧排查其产品受影响程度并修补他们的产品,同时敦促用户应用这些更新,突显及时解决该漏洞问题的紧迫性和广泛性。西门子在2021年12月13日发现其部分产品线中存在Apache Log4j漏洞,未经身份验证的远程攻击者可能会利用该漏洞在易受攻击的系统上执行代码。该公司15日更新的受上述两个漏洞影响的产品多达35种。除了确定各种缓解措施外,西门子还建议用户使用适当的机制保护对设备的网络访问。为了在受保护的IT环境中操作设备,西门子建议根据西门子工业安全操作指南配置环境。另外一家自动化巨头施耐德电气也在当日咨询报告中表示,将继续评估Log4j漏洞如何影响其产品,并将在特定产品的缓解信息可用时通过其网络安全支持门户向客户提供更新。知名工业网络安全公司claroty在其2021年12月14日评估了漏洞对SCADA、ICS和OT的影响,其安全研究团队Tem82还致力于创建更多概念验证来复现漏洞,并期望有自动化供应商合作伙伴可以使用这些概念验证来测试他们的产品是否易受攻击。2021年12月,思科对其150多款产品进行排查,以寻找Log4j漏洞。到目前为止,思科已发现有三款产品存在该漏洞,并确定有23款产品没有该漏洞。
三、深远影响
2021年年末爆发的Log4j 安全漏洞堪称互联网历史上破坏力最惊人的漏洞之一,漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。从爆发至今,Log4j漏洞影响的严重性、广泛性已经在各领域开始显现,并不断加大。
1. 持续时间长
在美国网络安全审查委员会发布首份报告《回顾2021年12月的Log4j事件》明确指出,Log4j 是一款开源软件,开发者已经将其集成到数百万个系统中。这种无孔不入、无处不在的软件中的漏洞有能力影响全世界的公司和组织(包括政府)。自从2021年11月曝光的Log4j漏洞已成为一大“持续性流行漏洞”,将在未来多年引发持续风险,换言之,这种无所不在的软件库的未经修复版本,将在未来十年或更长时间内继续留存在各类系统当中。同时,美国网络安全审查委员会预测,鉴于 Log4j的普遍存在,在未来十年中,易受攻击的版本仍将存在于系统中,我们将看到利用漏洞的方式不断演变,所有组织都应具备发现和升级易受攻击软件的能力,以及长期维持这些漏洞管理能力的能力。
2.影响面广
根据统计,有超过35,863个开源软件 Java 组件依赖于 Log4j,意味着超过 8% 的软件包里至少有一个版本会受此漏洞影响。漏洞在依赖链中越深,修复步骤就越多。根据云安全专家评估,每秒有超过 1000次利用Log4j漏洞的尝试。Log4j漏洞不仅影响直接使用该库的基于Java的应用程序和服务,还影响许多其他流行的依赖它的Java组件和开发框架,包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、ApacheKafka。随着危机的持续发酵,此次 Log4j 漏洞带来的损失目前尚无法准确评估。
2022年6月,美国CISA发布警告强调Log4Shell 漏洞目前已经影响了 1800多种产品,产品安全团队需要额外注意识别任何包含风险 Log4j包的软件。当前,黑客仍在利用Log4Shell漏洞,专门针对未打补丁的、面向Internet的VMware Horizon和Unified Access Gateway服务器。在《2021年终漏洞快速查看》报告中,CISA强调了Log4j漏洞具有广泛影响的潜力,自报告发布以来,受影响的产品总数增加了 11.6%。随着继续跟踪漏洞,受Log4j漏洞 影响的产品总数可能会增加。
3.危害性大
自2021年年底Log4j漏洞爆发以来, Mirai、Muhstik等多个僵尸网络家族利用此漏洞进行传播。同时,该漏洞利用正在发生快速变异,绕过现有缓解措施,并吸引了越来越多的黑客攻击者。Check Point的网络安全研究人员警告说,Log4j漏洞正在快速变异,已经产生60多个更强大的变种,所有变种都在不到一天的时间内产生。
2022 年 4 月以来,针对 VMware Horizon 服务器的Log4j攻击仍旧不断持续且有增无减。朝鲜黑客组织 Lazarus 一直通过Log4j 远程代码执行漏洞,在未应用安全补丁的 VMware Horizon虚拟桌面平台中大肆利用 Log4j漏洞来部署勒索软件及其他恶意程序包。2021年12月,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击,国防部证实这次攻击是成功利用了log4j的漏洞。
四、应对措施
鉴于Log4j漏洞的普遍存在,考虑到Log4j漏洞的使用规模、利用该漏洞的容易程度以及对该漏洞的广泛报道,该漏洞对数字生态系统的安全有重大影响。全球私营和公共部门的合作伙伴应采取措施积极应对。
1.持续对Log4j 漏洞保持高度警惕
由于Log4j漏洞在今后若干年长期存在,所有组织应具备发现和升级易受攻击软件的能力,以及长期维持这些漏洞管理的能力。所有组织都应继续主动监控和升级Log4j的易受攻击版本,优先应用软件升级,谨慎使用缓解措施,避免可能造成长期暴露的错误情况(例如,暴露易受攻击面的配置错误)。同时,运用成熟的业务流程来防止易受攻击版本的重新引入,采取基于风险的方法来补救Log4j漏洞,以便解决其他严重性漏洞。
2. 及时评估安全漏洞风险
根据 Log4j漏洞的严重性,所有企业都需要快速评估其业务运营的潜在风险,并制定和执行行动计划。当前对Log4j漏洞事件做出最有效响应的组织已经拥有技术资源和成熟的流程,可以识别易受攻击的产品资源、评估潜在风险。要降低Log4j和其他广泛使用的开源软件中的漏洞给生态系统带来风险的可能性,成熟可靠方法是确保代码的开发符合行业公认的安全编码实践,并由安全专家进行相应的审核。
3. 加强漏洞的规范化管理
各组织要积极开展开源软件安全动员计划,由 Linux基金会和开放源码安全基金会领导,呼吁业界采取行动开发软件组件框架,以加快发现和响应未来的漏洞。同时,组织应对系统上运行的软件高风险漏洞进行整体评估、汇总、分类和优先级排序,从而来提高其漏洞响应机制的成熟度。同时,各组织应该建立一致的安全开发流程,软件安全评估和漏洞管理操作流程,以及规范补丁创建和协调披露机制。
五、结语
根据Gartner的相关统计,到 2025年,30%的关键信息基础设施组织将遇到安全漏洞,这将会导致关键信息基础设施运营停止或关键型网络物理系统停止。面对日益严峻的安全漏洞形势,我国亟需加快网络安全漏洞治理体系建设,提升我国关键基础设施漏洞威胁防御水平,充分发挥漏洞预警管理在网络空间安全管理中的重要作用。