在Apache軟件基金會(huì)去年11月披露Log4j漏洞一年后，雖然針對(duì)該漏洞本身的攻擊數(shù)量低于最初的預(yù)期，但仍然對(duì)企業(yè)組織構(gòu)成重大威脅。

安全研究人員說(shuō)，仍然有很多系統(tǒng)沒(méi)有針對(duì)該漏洞打補(bǔ)丁，企業(yè)在發(fā)現(xiàn)、修復(fù)和防止該漏洞上仍面臨挑戰(zhàn)。

"Contrast Security的首席安全信息官 David Lindner說(shuō)："Log4j被用于約64%的Java應(yīng)用程序，而其中只有50%的應(yīng)用程序已經(jīng)更新到完全固定的版本，這意味著攻擊者將繼續(xù)針對(duì)它。至少現(xiàn)在，攻擊者繼續(xù)在尋找通過(guò)Log4j進(jìn)行攻擊的途徑。

攻擊比預(yù)期的要少

Log4j的缺陷（CVE-2021-44228），通常被稱為L(zhǎng)og4Shell，存在于Log4j用于數(shù)據(jù)存儲(chǔ)和檢索的Java命名和目錄接口（JNDI）。它可以幫助遠(yuǎn)程攻擊者來(lái)控制易受攻擊的系統(tǒng)。鑒于Log4J幾乎被用于每一個(gè)Java應(yīng)用環(huán)境，安全研究人員認(rèn)為它是近年來(lái)最具威脅的漏洞之一，因?yàn)樗芷毡?，而且攻擊者可以相?duì)容易地利用它。

在過(guò)去的一年里，已經(jīng)有許多關(guān)于攻擊者利用該漏洞作為進(jìn)入目標(biāo)網(wǎng)絡(luò)的報(bào)道。其中許多攻擊涉及來(lái)自朝鮮、伊朗和其他國(guó)家的由國(guó)家支持的APT組織。例如，11月美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說(shuō)，一個(gè)由伊朗政府支持的APT組織利用未打補(bǔ)丁的VMware Horizon服務(wù)器中的Log4j漏洞，在一個(gè)聯(lián)邦網(wǎng)絡(luò)上部署了加密軟件和憑證采集器。微軟等其他公司也報(bào)告了類似的行為。

盡管還有其他一些關(guān)于有經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙利用Log4j的報(bào)道， 但公開(kāi)報(bào)道的涉及Log4的破壞事件的實(shí)際數(shù)量仍然比較低，特別是與涉及Exchange Server漏洞（如ProxyLogon和ProxyShell）的事件相比。Tenable公司的首席安全官Bob Huber說(shuō)，相比于該漏洞的簡(jiǎn)單性和普遍的攻擊路徑，報(bào)告的攻擊規(guī)模和范圍出乎意料地低于預(yù)期。Huber說(shuō)：只是在近期，我們才看到一些有針對(duì)性的重要報(bào)道，如最近CISA的民族性國(guó)家活動(dòng)。

威脅未減弱

然而，安全研究人員指出，這并不意味著Log4j的威脅在過(guò)去一年中已經(jīng)減弱。

首先，很大一部分企業(yè)仍然像一年前一樣容易受到威脅。根據(jù)Tenable最近進(jìn)行的一項(xiàng)與該漏洞有關(guān)的遙測(cè)分析顯示，截至到10月1日，72%的企業(yè)容易受到Log4j的攻擊，全球僅有28%的組織已經(jīng)對(duì)該漏洞進(jìn)行了全面修復(fù)。但當(dāng)這些企業(yè)在向其環(huán)境中添加新的資產(chǎn)時(shí)，經(jīng)常又一次地遭到Log4j的漏洞攻擊。

Huber說(shuō)：假設(shè)企業(yè)在軟件的構(gòu)建管道中建立修復(fù)，那么再一次地遭到Log4j漏洞攻擊的概率會(huì)減少。是否會(huì)再一次地遭到Log4j漏洞攻擊很大程度上取決于一個(gè)企業(yè)的軟件發(fā)布周期。

此外，盡管網(wǎng)絡(luò)安全界對(duì)這個(gè)漏洞的認(rèn)識(shí)幾乎無(wú)處不在，但由于應(yīng)用程序如何使用Log4j，在許多企業(yè)中仍然很難找到有漏洞的版本。Sonatype公司首席技術(shù)官Brian Fox說(shuō)，一些應(yīng)用程序可能將開(kāi)源日志組件作為其應(yīng)用程序的直接依賴項(xiàng)，而在其他情況下，一些應(yīng)用程序可能將Log4j作為一個(gè)交叉依賴項(xiàng)或另一個(gè)依賴項(xiàng)的依賴。

Fox說(shuō)：由于過(guò)渡性依賴是從你的直接依賴項(xiàng)的選擇中引入的，它們可能并不總是被你的開(kāi)發(fā)人員所了解或直接看到。

Fox說(shuō)，當(dāng)Apache基金會(huì)首次披露Log4Shell時(shí)，公司不得不發(fā)出成千上萬(wàn)的內(nèi)部電子郵件，在電子表格中收集結(jié)果，并遞歸掃描文件系統(tǒng)。這不僅僅花費(fèi)了公司寶貴的時(shí)間和資源來(lái)修補(bǔ)該組件，而且延長(zhǎng)了該漏洞的惡意影響程度。

來(lái)自Sonatype維護(hù)的Maven Central Java倉(cāng)庫(kù)的數(shù)據(jù)顯示，目前35% 的 Log4 下載仍來(lái)自該軟件的易受攻擊版本。許多公司甚至在開(kāi)始響應(yīng)之前仍在嘗試建立他們的軟件清單，并且沒(méi)有意識(shí)到傳遞依賴性的影響。

根據(jù)上述所有的問(wèn)題，美國(guó)國(guó)土安全部審查委員會(huì)今年早些時(shí)候得出結(jié)論：Log4是一個(gè)地方性的安全風(fēng)險(xiǎn)，企業(yè)將需要與之抗衡多年。委員會(huì)成員評(píng)估說(shuō)，Log4j的脆弱實(shí)例將在未來(lái)許多年里留在系統(tǒng)中，并使企業(yè)面臨攻擊的風(fēng)險(xiǎn)。

正面的影響

跟蹤該漏洞的安全研究人員說(shuō)，Log4j的積極成果是它引起了人們對(duì)軟件構(gòu)成分析和軟件材料清單（SBOM）等實(shí)踐的高度關(guān)注。企業(yè)在確定他們是否有漏洞或在他們的環(huán)境中可能存在的漏洞時(shí)所面臨的挑戰(zhàn)，促進(jìn)了人們更好地理解對(duì)其代碼庫(kù)中所有組件的可見(jiàn)性需要，特別是那些來(lái)自開(kāi)源和第三方的組件。

ReversingLabs的CISO Matthew Rose說(shuō)：對(duì)Log4J問(wèn)題的調(diào)查再次證實(shí)，除了跟上DevOps速度的SBOMs之外，還需要更好的軟件供應(yīng)鏈證明。應(yīng)用安全和架構(gòu)團(tuán)隊(duì)已經(jīng)意識(shí)到，僅僅在源代碼、API或開(kāi)放源碼包等部分尋找風(fēng)險(xiǎn)是不夠的。他們現(xiàn)在意識(shí)到，全面了解應(yīng)用程序的架構(gòu)與尋找SQLI或跨站腳本錯(cuò)誤（XSS）一樣重要。

參考來(lái)源：https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack