Apache Log4j2 是一個基於 Java 的日誌記錄工具。該日誌框架被大量用於業務系統開發,用來記錄日誌資訊。
近日,Log4j2 被爆出現史詩級利用成本極低危害極大的漏洞,黑客可通過傳送一條指令即可控制目標裝置。Log4j2 作為基礎日誌元件被大量基礎服務在底層使用,據統計,該漏洞影響6萬+流行開源軟體,影響70%以上的企業線上業務系統!軟體在官方釋出漏洞修復補丁後依舊被黑客多次繞過,幾乎所有的網際網路大廠都在通宵加急處理漏洞,避免造成黑客攻擊事件,沒想到道高一尺魔高一丈,剛修復完又馬上被黑客繞過?。
近些年,重大威脅漏洞頻現:
- 2014年,心臟滴血漏洞讓世界上 2/3的 網站心臟滴血
- 2017年,永恆之藍漏洞讓數百萬臺主機面臨被勒索病毒攻擊的風險
- 2021年,Log4j2 的漏洞再一次影響了網際網路上70%以上的企業系統
毫無疑問,這些重大漏洞都使得網際網路企業及其應用的使用者繃緊了弦。
01 對開源軟體的致命打擊
火線安全團隊對 Log4j2 及受影響的開源元件進行全面分析後,對該漏洞的危害性感到震驚。Java ORM 中的 MyBatis、Hibernate 等元件均受到影響,而 Java 應用中,對資料庫的操作基本上都是通過 ORM 進行的,因此只要是涉及到資料庫操作的應用,都存在被攻擊的風險,危害十分重大。
經過對 Maven 官方倉庫的分析,我們發現像 Java ORM 一樣的基礎元件中,存在被攻擊風險的高達十幾萬個,影響幾百萬個元件的版本。由於篇幅原因,本文將通過不同的維度對存在風險的元件進行展示。
目前我們仍在繼續對資料進行整理分析,據不完全統計,在 Github 上,共有60644個開源專案釋出的321094軟體包存在風險,影響眾多主流開源基金會的著名專案。
在目前資料中,Star 數量 Top 10 為:
Apache 基金會下的開源專案中,受到 Log4j2 漏洞影響的 Top 10 如下:
Java 開發框架中,受到 Log4j2 的影響的 Top 10 如下:
以上資料均來源於火線安全提供的 Apache Log4j2 漏洞影響面查詢系統:https://log4j2.huoxian.cn。
02 技術實現
Log4j2 通常作為 Maven/Gradle 專案的元件依賴,被引入專案中,用於列印日誌。在本次排查過程中,我們分析了 Maven 官方倉庫的全部資料,根據直接引用、間接引用等多種關係,對資料進行關聯分析,最終梳理出全量的受 Log4j2 影響的元件資料;
然後將受影響的元件與 Github 中的開源專案進行關聯分析,找到每個元件對應的開源專案及專案的資訊。
03 技術支援
鑑於修復漏洞的緊迫性,火線安全將為所有企業提供免費且強大的技術支援。可通過:https://log4j2.huoxian.cn進行線上排查或新增火線小助手的微信,獲取火線安全免費的絕對防禦解決方案,火線安全專家全程技術支援。
關於火線安全
火線安全是基於社群的雲安全公司,主要運營洞態 IAST 和火線安全平臺。通過自主研發的自動化測試工具和海量的白帽安全專家,助力企業解決應用生命全週期的安全風險。“洞態”是全球首個開源 IAST 產品,專注於 DevSecOps, 幫助企業發現並解決應用上線前的安全風險。“火線安全平臺”是全球首個社群原生的安全眾測平臺,註冊有近萬名白帽安全專家,為企業提供可信的安全眾測服務。火線的安全產品與理念贏得了來自全球著名技術領袖陸奇博士、經緯中國、五源資本的投資,代表客戶包括位元組跳動、美團、百度、中國電信、中國銀行、中石化等多家網際網路大廠與國企。
火線安全平臺官網:huoxian.cn
洞態官網:dongtai.io