出現漏洞並不可怕，關鍵是如何以最快的速度發現並修補漏洞。搶在攻擊者之前發現並修補漏洞便是勝利。

李偉辰

　　2021年12月9日，對大多數人來説只是個普通的周四，但對信息安全圈裏的人來説，卻是個徹夜難眠的日子。一個名為Log4Shell的漏洞開始在網絡中肆虐，蘋果、騰訊、推特、百度、滴滴、京東、網易、亞馬遜、特斯拉、谷歌等無一倖免，甚至大名鼎鼎的美國國家安全局也沒能逃脫。

　　更可怕的是，該漏洞的影響範圍超出了地球，因為美國國家航空航天局用來探索火星的“機智”號無人直升機也使用了含有此漏洞的軟體。由此，Log4Shell可以當之無愧地被稱為“宇宙級”漏洞。

一個漏洞引發的“核爆”

　　Log4Shell漏洞所針對的是一個極為常用的Java日誌庫組件Log4j2。企業級應用，如電子商務網站、社交&&等，需要長期持續地穩定運行，並且要服務海量客戶。為了確保企業應用的服務質量，開發人員通常利用日誌，將企業應用的重要行為、關鍵事件記錄下來，方便監控企業應用的狀態、性能和安全。因此，日誌功能是所有企業級應用所必須具備的基礎功能。Log4j2正是這樣一個支持企業應用日誌功能的開源組件。

　　Log4j2是阿帕奇軟體基金會（專門為支持開源軟體項目而辦的一個非營利組織）下的一個開源項目，它可以靈活控制日誌的生成過程，控制每一條日誌的輸出格式和輸送的目的地。擁有如此強大的功能，它自然受到眾多基於Java的企業級軟體系統的青睞。

　　隨着Log4j2被廣泛應用，它的功能也應廣大開發人員的需求不斷膨脹。從Log4j2的2.0版本開始，在生成每條日誌的過程中，它允許訪問遠程對象的信息，甚至調用遠程對象來向日誌中插入動態信息。這一特性極大地豐富了Log4j2的功能，但也悄悄打開了潘多拉的盒子。因為，只要攻擊者向Log4j2組件傳入一個精心構造的指向惡意軟體的地址，便可將惡意軟體下載到本地並執行，導致之前精心設計的安全防護體系被輕鬆繞過，服務器完全落入攻擊者的掌控中。

　　是漏洞就遲早會被發現。北京時間2021年11月25日16時15分，中國安全廠商知道創宇的統一雲防禦&&第一次捕捉到利用該漏洞的實際攻擊行為。美國雲網絡安全服務公司（Cloudflare）的首席執行官馬修·普林斯之後也在推特上宣布，他們於世界時（UTC）2021年12月1日4時36分50秒發現了Log4j2漏洞被利用的最早證據。隨着2021年12月9日Log4Shell漏洞的驗證方法被正式公布，針對此漏洞的網絡攻擊迅速在全球蔓延，進而引發了網絡安全界的“核爆”。

破壞力巨大

　　在網絡安全界，漏洞幾乎每天都被爆出。為何Log4Shell具有如此大的破壞力？

　　一是因為其影響範圍廣。絕大部分企業級應用都是基於Java語言開發的，而Log4j2是應用最廣泛的Java日誌組件，為數百萬基於Java的應用程序、網站和服務所使用，且Log4Shell可影響該組件2.0以上的任何版本。

　　二是因為其危害性大。攻擊者可利用該漏洞，向目標服務器發送惡意數據，當服務器將數據寫入日誌時，觸發Log4j2組件解析缺陷，進而在未經授權的情況下，實現遠程執行任意代碼。這就相當於攻擊者利用此漏洞，可以繞開防護體系，構建一條惡意通道來做任何壞事。安全廠商已經發現有黑客利用該漏洞植入僵屍網絡程序、勒索軟體、挖礦軟體、木馬程序等。微軟也證實，其旗下《我的世界》（Minecraft）游戲&&，已經遭勒索軟體Khonsari利用該漏洞進行攻擊。

　　三是因為其利用門檻低。以最先受到影響的游戲《我的世界》為例，攻擊者只需在游戲聊天中，發送一條帶觸髮指令的消息，就可以對收到該消息的用戶發起攻擊。甚至有網友證實，更改iPhone名稱就可以觸發漏洞。這就使得一些剛入門的初級攻擊者都可以利用該漏洞大肆搞破壞。

　　因此，受Log4Shell漏洞波及的企業組織數量眾多，據網絡安全解決方案供應商Check Point粗略估算，全球超過40%的企業網絡都遭遇了漏洞利用攻擊。一些政府組織和重要機構的網站和信息系統也沒能倖免。2021年12月23日，比利時政府官員公開承認，由於遭到Log4Shell漏洞網絡攻擊，比利時國防部的部分計算機網絡被迫處於關閉狀態。

各方響應

　　面對突發的漏洞攻擊，阿帕奇軟體基金會、各大IT巨頭、安全廠商以及一些政府部門紛紛迅速作出積極響應。

　　漏洞事件的主要當事人阿帕奇軟體基金會Log4j2項目於2021年12月相繼發布2.15.0、2.16.0和2.17.0版本，對漏洞進行積極修補，並對暫不能升級的舊版提供了臨時應對方案。

　　中國主要的安全廠商知道創宇、奇安信等也迅速響應，一是針對漏洞利用攻擊給出漏洞排查方案、安全應急解決方案等；二是快速升級安全産品，提升針對Log4Shell漏洞攻擊的防禦能力。

　　國外廠商反應同樣迅速。2021年12月10日，亞馬遜發出安全警告稱，“正積極監控該問題，並已在尋求解決方案”；IBM、Red Hat、甲骨文、VMware等知名科技公司也宣稱正在部署補丁；Apple儘管沒有官方回應，但根據12月11日的測試，原本受到影響的iCloud似已修復。

　　各國政府部門也在接到漏洞報告後積極協調各方資源，開展應急響應。根據中國工信部官網2021年12月17日發布的《關於阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示》，在收到有關網絡安全專業機構報告後，工信部立即組織有關網絡安全專業機構開展漏洞風險分析研判，通報督促阿帕奇軟體基金會及時修補該漏洞，向行業單位進行風險預警。

　　美國網絡安全與基礎設施安全局要求聯邦機構在2021年12月24日之前解決Log4j2庫中的Log4Shell漏洞，防止有人利用該漏洞攻擊政府系統。美國聯邦貿易委員會也警告稱，如果美國企業未能保護客戶數據免受Log4Shell的影響，將面臨法律後果。

　　此外，澳大利亞、加拿大、新西蘭、英國等多國的機構相繼發出針對Log4Shell漏洞的警告，並密切關注事態發展。

　　鋻於此次Log4Shell漏洞的影響巨大，阿帕奇 Web服務器的主要開發人員布賴恩·貝倫多夫專門發表文章，呼籲多個開源基金會緊密合作，防止此類問題再次發生。

構築數字世界安全基石

　　當今世界已經在高速數字化轉型的軌道中飛奔，關於數字政府、智慧城市、數字經濟甚至元宇宙的美好描繪，讓每個人都對未來心馳神往。但一個小小的日誌組件漏洞，卻給IT界帶來一場不啻於地震的震蕩。未來數字社會的安全是那麼脆弱嗎？又該如何築牢未來數字社會的安全基石？

　　人們目前生活的物理世界是由鋼筋水泥金屬玻璃等建築材料所構建的，與我們互動交互的數字世界卻是由各種軟體支撐下的服務所構建的。傳統的商品需要經過原材料採購、配件生産、産品組裝、物流配送和終端銷售等多個環節，通常被稱為供應鏈；軟體作為一種特殊的商品，同樣要經歷開發、分發、部署和升級更新等多個環節，通常被稱為軟體供應鏈。

　　物理世界中的鋼筋水泥等材料如果存在安全隱患，將會産生滲水、沉降甚至坍塌等風險。同樣地，如果軟體存在安全漏洞，會導致網絡安全風險。特別是軟體標準化、組件化和大規模復用模式，一旦産生安全漏洞，安全風險的影響範圍和危害程度將被急劇放大。從這個意義上説，本次Log4Shell漏洞就是一個典型的供應鏈安全事件。

　　我們或許不得不接受一個現實，就是軟體中必然會存在各種各樣的漏洞，可能是無意的疏忽，也可能是惡意的攻擊。這樣的漏洞無法絕對根除，因為所有的軟體都是開發人員對現實世界進行邏輯抽象而後利用編碼來實現的，人類對於現實世界的認識只能無限趨近完美，而達不到至臻至美。Log4Shell也並不是一個孤立事件，在此之前，人們還經歷了2014年的“心臟滴血”漏洞、2017年的“永恒之藍”漏洞，等等。以後，還會有其他的漏洞被爆出。

　　除了軟體自身的安全漏洞，軟體在生産過程中還會遭到惡意篡改、植入後門和木馬等，例如2020年年底的SolarWinds事件。

　　既然軟體供應鏈安全已經成為未來數字世界的安全基石，我們又該如何確保它的安全呢？

　　出現漏洞並不可怕，關鍵是如何以最快的速度發現並修補漏洞。搶在攻擊者之前發現並修補漏洞便是勝利。

　　一是要建立起積極主動的防禦體系。漏洞攻擊是需要一個過程的，攻擊者首先要對目標進行偵查掃描，發現存在漏洞的目標設備，然後通過投遞攻擊載荷，實現對目標的突破並最終控制目標。企業可以通過安全前移，在企業資産暴露前沿部署防禦&&，通過對網絡流量和用戶行為的深度分析來發現漏洞攻擊。在本次Log4Shell漏洞事件響應中，儘管漏洞尚未正式公布，國內外一些安全廠商均成功攔截到Log4Shell的漏洞利用攻擊。

　　二是提升企業資産漏洞管理能力。企業要對自身的資産做到心中有數，並引入最新的威脅情報，及時發現安全漏洞，盡快完成安全漏洞的升級，提升安全基線。

　　三是企業組織間實現安全漏洞應急響應協同。面對有組織的網絡攻擊，單個企業組織的力量總是薄弱的，但在國家安全監管部門或行業安全聯盟的指導下，可以形成協同響應處置機制，實現“漏洞信息，實時共享”“一點被攻，全網預警”，發揮“人民戰爭”的強大優勢，戰勝任何“來犯之敵”。

　　（作者係北京知道創宇信息技術股份有限公司技術副總裁）

來源：2022年1月26日出版的《環球》雜誌 第2期

《環球》雜誌授權使用，其他媒體如需轉載，請與本刊&&

本期更多文章敬請關注《環球》雜誌微博、微信客戶端：“環球雜誌”