Log4j漏洞的深度回顾

不是所有黑客都以最新的物联网设备或网联汽车为目标。2020年的SolarWinds黑客事件赤裸裸地告诉人们，支撑现代文明的技术不但“乏善可陈”，而且还存在着漏洞。也许正是这起事件启发了那些在圣诞假期前创建Log4Shell的攻击者。

Log4Shell 是针对 Log4j 的漏洞利用，Log4j 是 Java 社区开发人员常用的开源日志库，为错误消息、诊断信息等的日志记录提供框架。 Log4j 存在于世界各地公司使用的产品中，也包括许多中国的组织。

该漏洞最终能够导致个人信息泄露和远程代码执行（RCE），给企业机构和他们的客户造成各种不同的问题。由于Log4j库的功能非常全面（包括查找、嵌套和JNDI等），因此开发者很喜欢使用它。目前已有大量利用该漏洞的尝试，而且这一数量的增速非常惊人。

全世界的个人、大型企业机构和政府机构都将继续讨论该漏洞，而我们已经深入了解该漏洞的运作方式和发展方向以及在未来减轻该漏洞影响时所需要考虑的独特因素。

数据窃取和远程代码执行漏洞

为找到存在漏洞的服务器而执行全网扫描的服务器数量与日俱增，这使得发起者能够窃取信息并执行恶意代码。

数据窃取是攻击者用来锁定、复制和传输敏感数据的技术，攻击者可以通过Log4j查询表达式访问这些数据并且轻易地将这些数据劫持到他们所控制的系统。同样，攻击者还可以通过精心编写的日志行来执行远程代码，以便在服务器内运行任意命令。

在我们所发现的攻击载体中，网络应用成为了攻击者的第一目标，这些应用记录了访问网站的终端用户与网站的互动。另一个攻击载体是DNS。为了搜索是否有任何存在漏洞的DNS解析器，攻击者正在DNS查询中嵌入可利用的攻击载荷并发布这些查询结果。

但企业机构所受到的威胁远不止这些情况。鉴于全世界有几十亿台设备运行Java，因此许多设备中的漏洞无法得到修补。再加上其庞大的足迹和设备的暴露时间，我们认为该漏洞将在未来几年继续对我们造成威胁。

发展方向——攻击载荷和攻击方式的多样化

随着对该漏洞的持续监测，我们发现该威胁正在向两个不同的方向发展。首先在攻击载荷方面，企业越来越依赖网络应用防火墙（WAF）等缓解措施为他们提供保护。这类系统能够扫描网络请求中是否有可利用的字符串。一旦发现有此类字符串，它们就会放弃该请求。

第二个发展方向是攻击目标和协议的多样化。网络应用目前已成为主要的攻击载体，所以企业机构会不断为其提供更多的保护和漏洞修补，因此攻击者正在将矛头指向DNS和其他不太受到关注的协议，此类攻击的数量已有所增加。

鉴于针对该漏洞的攻击载体类型十分广泛，唯一的解决方案是修补全部有漏洞的系统。但在很多情况下，企业机构无法在第一时间全方位地了解哪些系统存在漏洞，因此必须采取额外的缓解措施来尽可能减少威胁面。

为了提供最大程度的保护，凡是可以修补漏洞的系统，都应在最新版本上运行Log4j。在其他情况下，企业机构必须优先运行WAF和DNS防火墙以及零信任网络分段等系统，以便发现可能的漏洞。

从Log4j事件中吸取的教训

随着该漏洞的扩大和发展，我们正在研究未来如何消除它的影响。为了满足终端用户需求，开发者必须将快速增加的库、语言生态系统以及第三方基础架构和服务视为一种新常态。

领先的企业机构不但已经开始评估特定库的风险，而且还通过评估该开发社区的实践来检查自身的依赖性。即便进行了此类风险评估，漏洞还是会出现。因此在这种情况下，可见性最为重要。许多企业机构无法发现存在漏洞的系统，所以他们必须部署能够及时做出响应并防止被完全利用的系统。

最后，企业机构应采取最小权限原则，包括限制服务器、机器和软件的访问权限，这样用户就只能访问执行自身任务所需的系统。这可以大大减少漏洞出现时的威胁面。

Log4j漏洞对全球企业造成了复杂、高风险的威胁。由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统，攻击者将会继续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。但只要企业能够努力构建成熟的安全基础，就能够具备比以往更快的恢复速度。