12月17日,工信部發(fā)布關(guān)于阿帕奇Log4j2組件重大安全漏洞風(fēng)險提示,提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補丁發(fā)布,排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況,及時升級組件版本,以降低網(wǎng)絡(luò)安全風(fēng)險。
據(jù)悉,阿帕奇(Apache)Log4j2組件是基于Java語言的開源日志框架,由于性能好、利用門檻低,被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日,阿里云計算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件存在遠程代碼執(zhí)行漏洞(國外將該漏洞命名為Log4Shell),該漏洞可能導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴重危害,并將漏洞情況告知阿帕奇軟件基金會?;饡褜⒃撀┒磭乐匦粤袨樽罡叩燃?。
《中國電子報》記者從網(wǎng)絡(luò)安全公司奇信安了解到,目前Mirai、Muhstik等多個僵尸網(wǎng)絡(luò)家族,以及Minerd、HSMiner、HideShadowMiner、BlueHero等多個挖礦病毒家族正利用此漏洞進行擴散。數(shù)據(jù)安全平臺LunaSec透露,有證據(jù)表明Steam(游戲平臺)以及蘋果公司的云服務(wù)皆已受到影響。網(wǎng)絡(luò)安全公司Palo AltoNetwork指出,推特和亞馬遜也受到了攻擊。此次高危漏洞帶來的安全風(fēng)險已經(jīng)席卷全球,奧地利、新西蘭、美國、德國、中國等多國相關(guān)機構(gòu)相繼發(fā)出了安全警告。
該漏洞嚴重性列為最高等級
一般在評估漏洞危害程度時需考慮以下三個因素:攻擊者利用漏洞的難度、漏洞利用對目標(biāo)機器帶來的危害、漏洞的影響范圍。賽迪智庫網(wǎng)絡(luò)安全研究所助理研究院王偉潔對《中國電子報》記者介紹道:“阿帕奇漏洞被認為是近年來最大的高危型計算機漏洞。首先,攻擊者通過JNDI(Java命名和目錄接口)注入攻擊的形式便可輕松遠程執(zhí)行任何代碼,利用方式十分簡單;其次,黑客可利用該漏洞直接獲得目標(biāo)機器的最高權(quán)限(root權(quán)限),導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴重危害;此外,該漏洞影響范圍極其廣泛,波及到全球數(shù)億臺網(wǎng)絡(luò)設(shè)備。”
據(jù)了解,阿帕奇工具幾乎存在于所有Java(計算機編程語言)應(yīng)用程序中,而全球有數(shù)以億計的設(shè)備安裝有Java程序,因此幾乎所有行業(yè)都會受到該漏洞影響。王偉潔認為,阿帕奇漏洞對互聯(lián)網(wǎng)行業(yè)的影響程度較為嚴重,該漏洞帶來的不僅是黑客造成的資產(chǎn)損失或補救漏洞的經(jīng)濟投入,更嚴重的是由此造成的聲譽危機。另一位專家表示,普通個人用戶即便不會直接接觸漏洞,但其日常使用的網(wǎng)站服務(wù)、軟件系統(tǒng)等也會面臨不同程度的安全風(fēng)險。
從當(dāng)前國內(nèi)外安全廠商披露的清單來看,目前檢測到利用漏洞的攻擊活動,最多的是挖礦木馬團伙,然后是勒索軟件,也有針對高價值目標(biāo)的APT攻擊(高級持續(xù)性威脅)。多位業(yè)內(nèi)人士稱,此漏洞若得不到有效控制,危害程度堪比2017年的“永恒之藍”(“永恒之藍”是黑客團體Shadow Brokers公布的網(wǎng)絡(luò)攻擊工具,利用Windows系統(tǒng)的SMB漏洞可以獲取系統(tǒng)最高權(quán)限。由“永恒之藍”改造而成的wannacry勒索病毒,致使美國、英國、俄羅斯、中國等在內(nèi)的至少150個國家、30萬名用戶中招,包括政府、銀行、電力系統(tǒng)、通訊系統(tǒng)、能源企業(yè)、機場等在內(nèi)的諸多重要基礎(chǔ)設(shè)施被波及)。
漏洞帶來的影響將持續(xù)較長時間
騰訊安全專家李鐵軍在接受《中國電子報》記者采訪時表示:“該漏洞之所以影響范圍如此廣泛,主要是由于Apache log4j組件的涉及面很廣,大量網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建在其基礎(chǔ)上,就像一棟建筑,如果基礎(chǔ)出現(xiàn)問題,可能影響全局。同時,也正式因為涉及面廣,漏洞修復(fù)起來需要大量時間,而該組件又暴露了相關(guān)聯(lián)的其他高危漏洞,所以此次漏洞帶來的影響將持續(xù)較長時間。”
阿帕奇Log4j2組件本身是一個開源項目。開源軟件提高了開發(fā)效率,加速了互聯(lián)網(wǎng)應(yīng)用的普及,但同時也引入較多的安全風(fēng)險。“業(yè)內(nèi)之前對于開源組件的漏洞關(guān)注度遠遠不夠,需要加強審計。”李鐵軍指出。
公開數(shù)據(jù)顯示,84%的攻擊發(fā)生在應(yīng)用程序,其中又有70%源于各種開源軟件。根據(jù)國家計算機網(wǎng)絡(luò)應(yīng)急中心的統(tǒng)計數(shù)據(jù),開源軟件的漏洞數(shù)呈逐年遞增趨勢。
傳統(tǒng)的漏洞掃描引擎僅依據(jù)軟件名稱及版本號來確定是否存在漏洞。而實際上,開源軟件通常會有多個版本分支同時并行,比如GitLab(用于倉庫管理系統(tǒng)的開源項目)有社區(qū)版和企業(yè)版,Jenkins(開源的持續(xù)集成工具)有每周更新版和長期支持版,同一個漏洞在不通的版本分支中實際的受影響狀態(tài)也不同。研究人員在實際驗證中發(fā)現(xiàn),大多數(shù)鏡像都有漏洞,有些鏡像漏洞數(shù)多達幾百個??梢?,精準識別漏洞并有針對性地對其進行修復(fù)并非易事。
李鐵軍認為:“用了開源組件,就需要特別關(guān)注版本升級,防范供應(yīng)鏈攻擊。官方組件自身有可能出現(xiàn)漏洞,官方倉庫也有可能被不法分子上傳‘加工過’的版本,通常這兩種情況非安全專家都很難發(fā)現(xiàn),需要依賴安全廠商的服務(wù)來檢測風(fēng)險。”
“各機構(gòu)安全團隊需要克服諸多挑戰(zhàn)修復(fù)該漏洞,包括確定暴露的全部資產(chǎn)范圍、針對無法修補的系統(tǒng)尋求變通方法等。此外,攻擊者也不斷探索新的漏洞利用模式,目前該漏洞已經(jīng)出現(xiàn)的三個變體。因此,阿帕奇漏洞的影響可能會持續(xù)數(shù)十年時間。”王偉潔分析稱。
國內(nèi)多家企業(yè)發(fā)布安全方案
遭遇阿帕奇漏洞后,應(yīng)該采用哪些措施降低安全風(fēng)險?王偉潔指出,
一是需盡快將使用了阿帕奇工具的程序更新至官方最新安全版本,不能及時升級的用戶需根據(jù)官方提示手工修改阿帕奇和Java參數(shù)配置;
二是使用殺毒軟件對攻擊流量進行攔截。
三是禁止所有不必要的外連數(shù)據(jù)。奇安信安全專家提醒稱, Log4j作為日志組件,位于軟件供應(yīng)關(guān)系的較底層。因此供應(yīng)鏈對此漏洞的放大效應(yīng)將逐漸顯現(xiàn),相關(guān)廠商、用戶需密切關(guān)注其威脅發(fā)展情況。
李鐵軍指出:“尤其政企機構(gòu)需要盡快在網(wǎng)絡(luò)各個節(jié)點和應(yīng)用環(huán)境分級部署完整的解決方案,對服務(wù)器、終端、網(wǎng)絡(luò)流量等各層面進行漏洞檢測和防御,消除安全短板,排除安全死角,防止黑客利用漏洞對網(wǎng)絡(luò)進行攻擊破壞行動。”另外,還有專家建議,廣大普通用戶也應(yīng)盡快對個人電腦進行加固。
令人欣慰的是,針對此次漏洞,國內(nèi)多家安全企業(yè)已經(jīng)采取措施,積極提供相關(guān)安全解決方案。阿里云第一時間開始修復(fù)自家的相關(guān)受影響系統(tǒng),并發(fā)布了安全公告。奇安信也迅速推出了“一攬子”Log4j2漏洞防護方案,從底層代碼、網(wǎng)絡(luò)傳輸?shù)缴蠈討?yīng)用,全面覆蓋漏洞的發(fā)現(xiàn)、監(jiān)測、檢測和響應(yīng)處置等全生命周期。騰訊安全將該漏洞收錄至騰訊安全漏洞特征庫中,CODING 制品掃描基于該漏洞特征庫,對引用了受影響版本的 Log4j 2 制品進行了精準定位,并給出修復(fù)建議,同時禁止下載含有該安全漏洞的制品,最大限度減少漏洞蔓延。華為、新華三、安恒信息、綠盟科技、360等一眾廠商也相繼發(fā)布安全方案。
網(wǎng)絡(luò)安全仍需警鐘長鳴
實際上,阿帕奇漏洞的出現(xiàn)并非偶然。根據(jù)Gartner的相關(guān)統(tǒng)計,到 2025 年,30%的關(guān)鍵信息基礎(chǔ)設(shè)施組織將遇到安全漏洞。安全漏洞總會出現(xiàn),無法根本上杜絕。在被發(fā)現(xiàn)之前,誰也不能推測其存在,也無法預(yù)料其后果。李鐵軍建議稱:“對于一般客戶而言,需要特別關(guān)注相關(guān)威脅情報信息;企業(yè)最好有專業(yè)安全運維隊伍來做保障;政企機構(gòu)需要建設(shè)具有彈性的完整安全解決方案,去實時檢測、響應(yīng)、處置各類安全威脅;運維人員更要高度關(guān)注高危漏洞信息,及時修補漏洞或采取相應(yīng)的緩解措施控制風(fēng)險。”
防患于未然,做好前期預(yù)防工作非常重要。王偉潔認為:“一方面,企業(yè)需要提高安全意識,未雨綢繆,定期全面檢查企業(yè)辦公系統(tǒng)和應(yīng)用,發(fā)現(xiàn)該漏洞及相關(guān)變體后及時修復(fù),并且應(yīng)該主動建立、嚴格實施完整的數(shù)據(jù)備份方案;另一方面,普通用戶需培養(yǎng)良好的網(wǎng)絡(luò)使用習(xí)慣,包括及時更新防病毒產(chǎn)品、定期進行病毒掃描等。”
此外,國內(nèi)現(xiàn)有大量的系統(tǒng)、軟件都是基于開源架構(gòu) (不僅僅是阿帕奇),此次安全事件也為我們敲響了警鐘。業(yè)內(nèi)資深專家指出,未來在基于開源架構(gòu)打造軟件、構(gòu)建系統(tǒng)的同時,應(yīng)該如何更好地保障系統(tǒng)安全、防范和控制軟件風(fēng)險,如何更好地利用和使用開源架構(gòu),這些問題需要產(chǎn)業(yè)鏈上的各參與方深入思考。
來源丨宋婧
編輯丨連曉東
美編丨馬利亞