出現漏洞並不可怕，關鍵是如何以最快的速度發現並修補漏洞。搶在攻擊者之前發現並修補漏洞便是勝利。

李偉辰

　　2021年12月9日，對大多數人來説只是個普通的周四，但對信息安全圈裏的人來説，卻是個徹夜難眠的日子。一個名為Log4Shell的漏洞開始在網絡中肆虐，蘋果、騰訊、推特、百度、滴滴、京東、網易、亞馬遜、特斯拉、谷歌等無一幸免，甚至大名鼎鼎的美國國家安全局也沒能逃脫。

　　更可怕的是，該漏洞的影響范圍超出了地球，因為美國國家航空航太局用來探索火星的“機智”號無人直升機也使用了含有此漏洞的軟件。由此，Log4Shell可以當之無愧地被稱為“宇宙級”漏洞。

一個漏洞引發的“核爆”

　　Log4Shell漏洞所針對的是一個極為常用的Java日志庫組件Log4j2。企業級應用，如電子商務網站、社交平臺等，需要長期持續地穩定運作，並且要服務海量客戶。為了確保企業應用的服務品質，開發人員通常利用日志，將企業應用的重要行為、關鍵事件記錄下來，方便監控企業應用的狀態、性能和安全。因此，日志功能是所有企業級應用所必須具備的基礎功能。Log4j2正是這樣一個支援企業應用日志功能的開源組件。

　　Log4j2是阿帕奇軟件基金會（專門為支援開源軟件項目而辦的一個非營利組織）下的一個開源項目，它可以靈活控制日志的生成過程，控制每一條日志的輸出格式和輸送的目的地。擁有如此強大的功能，它自然受到眾多基于Java的企業級軟件係統的青睞。

　　隨著Log4j2被廣泛應用，它的功能也應廣大開發人員的需求不斷膨脹。從Log4j2的2.0版本開始，在生成每條日志的過程中，它允許訪問遠端對象的資訊，甚至調用遠端對象來向日志中插入動態資訊。這一特性極大地豐富了Log4j2的功能，但也悄悄打開了潘多拉的盒子。因為，只要攻擊者向Log4j2組件傳入一個精心構造的指向惡意軟件的地址，便可將惡意軟件下載到本地並執行，導致之前精心設計的安全防護體係被輕松繞過，伺服器完全落入攻擊者的掌控中。

　　是漏洞就遲早會被發現。北京時間2021年11月25日16時15分，中國安全廠商知道創宇的統一雲防禦平臺第一次捕捉到利用該漏洞的實際攻擊行為。美國雲網絡安全服務公司（Cloudflare）的首席執行官馬修·普林斯之後也在推特上宣布，他們于世界時（UTC）2021年12月1日4時36分50秒發現了Log4j2漏洞被利用的最早證據。隨著2021年12月9日Log4Shell漏洞的驗證方法被正式公布，針對此漏洞的網絡攻擊迅速在全球蔓延，進而引發了網絡安全界的“核爆”。

破壞力巨大

　　在網絡安全界，漏洞幾乎每天都被爆出。為何Log4Shell具有如此大的破壞力？

　　一是因為其影響范圍廣。絕大部分企業級應用都是基于Java語言開發的，而Log4j2是應用最廣泛的Java日志組件，為數百萬基于Java的應用程式、網站和服務所使用，且Log4Shell可影響該組件2.0以上的任何版本。

　　二是因為其危害性大。攻擊者可利用該漏洞，向目標伺服器發送惡意數據，當伺服器將數據寫入日志時，觸發Log4j2組件解析缺陷，進而在未經授權的情況下，實現遠端執行任意代碼。這就相當于攻擊者利用此漏洞，可以繞開防護體係，構建一條惡意通道來做任何壞事。安全廠商已經發現有駭客利用該漏洞植入僵屍網絡程式、勒索軟件、挖礦軟件、木馬程式等。微軟也證實，其旗下《我的世界》（Minecraft）遊戲平臺，已經遭勒索軟件Khonsari利用該漏洞進行攻擊。

　　三是因為其利用門檻低。以最先受到影響的遊戲《我的世界》為例，攻擊者只需在遊戲聊天中，發送一條帶觸發指令的消息，就可以對收到該消息的用戶發起攻擊。甚至有網友證實，更改iPhone名稱就可以觸發漏洞。這就使得一些剛入門的初級攻擊者都可以利用該漏洞大肆搞破壞。

　　因此，受Log4Shell漏洞波及的企業組織數量眾多，據網絡安全解決方案供應商Check Point粗略估算，全球超過40%的企業網絡都遭遇了漏洞利用攻擊。一些政府組織和重要機構的網站和資訊係統也沒能幸免。2021年12月23日，比利時政府官員公開承認，由于遭到Log4Shell漏洞網絡攻擊，比利時國防部的部分電腦網絡被迫處于關閉狀態。

各方響應

　　面對突發的漏洞攻擊，阿帕奇軟件基金會、各大IT巨頭、安全廠商以及一些政府部門紛紛迅速作出積極響應。

　　漏洞事件的主要當事人阿帕奇軟件基金會Log4j2項目于2021年12月相繼發布2.15.0、2.16.0和2.17.0版本，對漏洞進行積極修補，並對暫不能升級的舊版提供了臨時應對方案。

　　中國主要的安全廠商知道創宇、奇安信等也迅速響應，一是針對漏洞利用攻擊給出漏洞排查方案、安全應急解決方案等；二是快速升級安全産品，提升針對Log4Shell漏洞攻擊的防禦能力。

　　國外廠商反應同樣迅速。2021年12月10日，亞馬遜發出安全警告稱，“正積極監控該問題，並已在尋求解決方案”；IBM、Red Hat、甲骨文、VMware等知名科技公司也宣稱正在部署補丁；Apple盡管沒有官方回應，但根據12月11日的測試，原本受到影響的iCloud似已修復。

　　各國政府部門也在接到漏洞報告後積極協調各方資源，開展應急響應。根據中國工信部官網2021年12月17日發布的《關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》，在收到有關網絡安全專業機構報告後，工信部立即組織有關網絡安全專業機構開展漏洞風險分析研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。

　　美國網絡安全與基礎設施安全局要求聯邦機構在2021年12月24日之前解決Log4j2庫中的Log4Shell漏洞，防止有人利用該漏洞攻擊政府係統。美國聯邦貿易委員會也警告稱，如果美國企業未能保護客戶數據免受Log4Shell的影響，將面臨法律後果。

　　此外，澳大利亞、加拿大、新西蘭、英國等多國的機構相繼發出針對Log4Shell漏洞的警告，並密切關注事態發展。

　　鑒于此次Log4Shell漏洞的影響巨大，阿帕奇 Web伺服器的主要開發人員布賴恩·貝倫多夫專門發表文章，呼吁多個開源基金會緊密合作，防止此類問題再次發生。

構築數字世界安全基石

　　當今世界已經在高速數字化轉型的軌道中飛奔，關于數字政府、智慧城市、數字經濟甚至元宇宙的美好描繪，讓每個人都對未來心馳神往。但一個小小的日志組件漏洞，卻給IT界帶來一場不啻于地震的震蕩。未來數字社會的安全是那麼脆弱嗎？又該如何築牢未來數字社會的安全基石？

　　人們目前生活的物理世界是由鋼筋水泥金屬玻璃等建築材料所構建的，與我們互動交互的數字世界卻是由各種軟件支撐下的服務所構建的。傳統的商品需要經過原材料採購、配件生産、産品組裝、物流配送和終端銷售等多個環節，通常被稱為供應鏈；軟件作為一種特殊的商品，同樣要經歷開發、分發、部署和升級更新等多個環節，通常被稱為軟件供應鏈。

　　物理世界中的鋼筋水泥等材料如果存在安全隱患，將會産生滲水、沉降甚至坍塌等風險。同樣地，如果軟件存在安全漏洞，會導致網絡安全風險。特別是軟件標準化、組件化和大規模復用模式，一旦産生安全漏洞，安全風險的影響范圍和危害程度將被急劇放大。從這個意義上説，本次Log4Shell漏洞就是一個典型的供應鏈安全事件。

　　我們或許不得不接受一個現實，就是軟件中必然會存在各種各樣的漏洞，可能是無意的疏忽，也可能是惡意的攻擊。這樣的漏洞無法絕對根除，因為所有的軟件都是開發人員對現實世界進行邏輯抽象而後利用編碼來實現的，人類對于現實世界的認識只能無限趨近完美，而達不到至臻至美。Log4Shell也並不是一個孤立事件，在此之前，人們還經歷了2014年的“心臟滴血”漏洞、2017年的“永恒之藍”漏洞，等等。以後，還會有其他的漏洞被爆出。

　　除了軟件自身的安全漏洞，軟件在生産過程中還會遭到惡意篡改、植入後門和木馬等，例如2020年年底的SolarWinds事件。

　　既然軟件供應鏈安全已經成為未來數字世界的安全基石，我們又該如何確保它的安全呢？

　　出現漏洞並不可怕，關鍵是如何以最快的速度發現並修補漏洞。搶在攻擊者之前發現並修補漏洞便是勝利。

　　一是要建立起積極主動的防禦體係。漏洞攻擊是需要一個過程的，攻擊者首先要對目標進行偵查掃描，發現存在漏洞的目標設備，然後通過投遞攻擊載荷，實現對目標的突破並最終控制目標。企業可以通過安全前移，在企業資産暴露前沿部署防禦平臺，通過對網絡流量和用戶行為的深度分析來發現漏洞攻擊。在本次Log4Shell漏洞事件響應中，盡管漏洞尚未正式公布，國內外一些安全廠商均成功攔截到Log4Shell的漏洞利用攻擊。

　　二是提升企業資産漏洞管理能力。企業要對自身的資産做到心中有數，並引入最新的威脅情報，及時發現安全漏洞，盡快完成安全漏洞的升級，提升安全基線。

　　三是企業組織間實現安全漏洞應急響應協同。面對有組織的網絡攻擊，單個企業組織的力量總是薄弱的，但在國家安全監管部門或行業安全聯盟的指導下，可以形成協同響應處置機制，實現“漏洞資訊，實時共用”“一點被攻，全網預警”，發揮“人民戰爭”的強大優勢，戰勝任何“來犯之敵”。

　　（作者係北京知道創宇信息技術股份有限公司技術副總裁）

來源：2022年1月26日出版的《環球》雜志 第2期

《環球》雜志授權使用，其他媒體如需轉載，請與本刊聯繫

本期更多文章敬請關注《環球》雜志微博、微信客戶端：“環球雜志”