从宇宙级漏洞Log4Shell看软件供应链安全

Mark wiens

发布时间:2022-09-28

从宇宙级漏洞Log4Shell看软件供应链安全

  出现漏洞并不可怕,关键是如何以最快的速度发现并修补漏洞。抢在攻击者之前发现并修补漏洞便是胜利。

  2021年12月9日,对大多数人来说只是个普通的周四,但对信息安全圈里的人来说,却是个彻夜难眠的日子。一个名为Log4Shell的漏洞开始在网络中肆虐,苹果、腾讯、推特、百度、滴滴、京东、网易、亚马逊、特斯拉、谷歌等无一幸免,甚至大名鼎鼎的美国局也没能逃脱。

  更可怕的是,该漏洞的影响范围超出了地球,因为美国国家航空航天局用来探索火星的“机智”号无人直升机也使用了含有此漏洞的软件。由此,Log4Shell可以当之无愧地被称为“宇宙级”漏洞。

  Log4Shell漏洞所针对的是一个极为常用的Java日志库组件Log4j2。企业级应用,如电子商务网站、社交平台等,需要长期持续地稳定运行,并且要服务海量客户。为了确保企业应用的服务质量,开发人员通常利用日志,将企业应用的重要行为、关键事件记录下来,方便监控企业应用的状态、性能和安全。因此,日志功能是所有企业级应用所必须具备的基础功能。Log4j2正是这样一个支持企业应用日志功能的开源组件。

  Log4j2是阿帕奇软件基金会(专门为支持开源软件项目而办的一个非营利组织)下的一个开源项目,它可以灵活控制日志的生成过程,控制每一条日志的输出格式和输送的目的地。拥有如此强大的功能,它自然受到众多基于Java的企业级软件系统的青睐。

  随着Log4j2被广泛应用,它的功能也应广大开发人员的需求不断膨胀。从Log4j2的2.0版本开始,在生成每条日志的过程中,它允许访问远程对象的信息,甚至调用远程对象来向日志中插入动态信息。这一特性极大地丰富了Log4j2的功能,但也悄悄打开了潘多拉的盒子。因为,只要攻击者向Log4j2组件传入一个精心构造的指向恶意软件的地址,便可将恶意软件下载到本地并执行,导致之前精心设计的安全防护体系被轻松绕过,服务器完全落入攻击者的掌控中。

  是漏洞就迟早会被发现。北京时间2021年11月25日16时15分,中国安全厂商知道创宇的统一云防御平台第一次捕捉到利用该漏洞的实际攻击行为。美国云网络安全服务公司(Cloudflare)的首席执行官马修·普林斯之后也在推特上宣布,他们于世界时(UTC)2021年12月1日4时36分50秒发现了Log4j2漏洞被利用的最早证据。随着2021年12月9日Log4Shell漏洞的验证方法被正式公布,针对此漏洞的网络攻击迅速在全球蔓延,进而引发了网络安全界的“核爆”。

  一是因为其影响范围广。绝大部分企业级应用都是基于Java语言开发的,而Log4j2是应用最广泛的Java日志组件,为数百万基于Java的应用程序、网站和服务所使用,且Log4Shell可影响该组件2.0以上的任何版本。

  二是因为其危害性大。攻击者可利用该漏洞,向目标服务器发送恶意数据,当服务器将数据写入日志时,触发Log4j2组件解析缺陷,进而在未经授权的情况下,实现远程执行任意代码。这就相当于攻击者利用此漏洞,可以绕开防护体系,构建一条恶意通道来做任何坏事。安全厂商已经发现有黑客利用该漏洞植入僵尸网络程序、勒索软件、挖矿软件、木马程序等。微软也证实,其旗下《我的世界》(Minecraft)游戏平台,已经遭勒索软件Khonsari利用该漏洞进行攻击。

  三是因为其利用门槛低。以最先受到影响的游戏《我的世界》为例,攻击者只需在游戏聊天中,发送一条带触发指令的消息,就可以对收到该消息的用户发起攻击。甚至有网友证实,更改iPhone名称就可以触发漏洞。这就使得一些刚入门的初级攻击者都可以利用该漏洞大肆搞破坏。

  因此,受Log4Shell漏洞波及的企业组织数量众多,据网络安全解决方案供应商Check Point粗略估算,全球超过40%的企业网络都遭遇了漏洞利用攻击。一些政府组织和重要机构的网站和信息系统也没能幸免。2021年12月23日,比利时政府官员公开承认,由于遭到Log4Shell漏洞网络攻击,比利时国防部的部分计算机网络处于关闭状态。

  面对突发的漏洞攻击,阿帕奇软件基金会、各大IT巨头、安全厂商以及一些政府部门纷纷迅速作出积极响应。

  漏洞事件的主要当事人阿帕奇软件基金会Log4j2项目于2021年12月相继发布2.15.0、2.16.0和2.17.0版本,对漏洞进行积极修补,并对暂不能升级的旧版提供了临时应对方案。

  中国主要的安全厂商知道创宇、奇安信等也迅速响应,一是针对漏洞利用攻击给出漏洞排查方案、安全应急解决方案等;二是快速升级安全产品,提升针对Log4Shell漏洞攻击的防御能力。

  国外厂商反应同样迅速。2021年12月10日,亚马逊发出安全警告称,“正积极监控该问题,并已在寻求解决方案”;IBM、Red Hat、甲骨文、VMware等知名科技公司也宣称正在部署补丁;Apple尽管没有官方回应,但根据12月11日的测试,原本受到影响的iCloud似已修复。

  各国政府部门也在接到漏洞报告后积极协调各方资源,开展应急响应。根据中国工信部官网2021年12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》,在收到有关网络安全专业机构报告后,工信部立即组织有关网络安全专业机构开展漏洞风险分析研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。

  美国网络安全与基础设施安全局要求联邦机构在2021年12月24日之前解决Log4j2库中的Log4Shell漏洞,防止有人利用该漏洞攻击政府系统。美国联邦贸易委员会也警告称,如果美国企业未能保护客户数据免受Log4Shell的影响,将面临法律后果。

  此外,澳大利亚、加拿大、新西兰、英国等多国的机构相继发出针对Log4Shell漏洞的警告,并密切关注事态发展。

  鉴于此次Log4Shell漏洞的影响巨大,阿帕奇 Web服务器的主要开发人员布赖恩·贝伦多夫专门发表文章,呼吁多个开源基金会紧密合作,防止此类问题再次发生。

  当今世界已经在高速数字化转型的轨道中飞奔,关于数字政府、智慧城市、数字经济甚至元宇宙的美好描绘,让每个人都对未来心驰神往。但一个小小的日志组件漏洞,却给IT界带来一场不啻于地震的震荡。未来数字社会的安全是那么脆弱吗?又该如何筑牢未来数字社会的安全基石?

  人们目前生活的物理世界是由钢筋水泥金属玻璃等建筑材料所构建的,与我们互动交互的数字世界却是由各种软件支撑下的服务所构建的。传统的商品需要经过原材料采购、配件生产、产品组装、物流配送和终端销售等多个环节,通常被称为供应链;软件作为一种特殊的商品,同样要经历开发、分发、部署和升级更新等多个环节,通常被称为软件供应链。

  物理世界中的钢筋水泥等材料如果存在安全隐患,将会产生渗水、沉降甚至坍塌等风险。同样地,如果软件存在安全漏洞,会导致网络安全风险。特别是软件标准化、组件化和大规模复用模式,一旦产生安全漏洞,安全风险的影响范围和危害程度将被急剧放大。从这个意义上说,本次Log4Shell漏洞就是一个典型的供应链安全事件。

  我们或许不得不接受一个现实,就是软件中必然会存在各种各样的漏洞,可能是无意的疏忽,也可能是恶意的攻击。这样的漏洞无法绝对根除,因为所有的软件都是开发人员对现实世界进行逻辑抽象而后利用编码来实现的,人类对于现实世界的认识只能无限趋近完美,而达不到至臻至美。Log4Shell也并不是一个孤立事件,在此之前,人们还经历了2014年的“心脏滴血”漏洞、2017年的“永恒之蓝”漏洞,等等。以后,还会有其他的漏洞被爆出。

  除了软件自身的安全漏洞,软件在生产过程中还会遭到恶意篡改、植入后门和木马等,例如2020年年底的SolarWinds事件。

  出现漏洞并不可怕,关键是如何以最快的速度发现并修补漏洞。抢在攻击者之前发现并修补漏洞便是胜利。

  一是要建立起积极主动的防御体系。漏洞攻击是需要一个过程的,攻击者首先要对目标进行侦查扫描,发现存在漏洞的目标设备,然后通过投递攻击载荷,实现对目标的突破并最终控制目标。企业可以通过安全前移,在企业资产暴露前沿部署防御平台,通过对网络流量和用户行为的深度分析来发现漏洞攻击。在本次Log4Shell漏洞事件响应中,尽管漏洞尚未正式公布,国内外一些安全厂商均成功拦截到Log4Shell的漏洞利用攻击。

  二是提升企业资产漏洞管理能力。企业要对自身的资产做到心中有数,并引入最新的威胁情报,及时发现安全漏洞,尽快完成安全漏洞的升级,提升安全基线。

  三是企业组织间实现安全漏洞应急响应协同。面对有组织的网络攻击,单个企业组织的力量总是薄弱的,但在监管部门或行业安全联盟的指导下,可以形成协同响应处置机制,实现“漏洞信息,实时共享”“一点被攻,全网预警”,发挥“人民战争”的强大优势,战胜任何“来犯之敌”。

  ·遵守中华人民共和国有关法律、法规,尊重网上道德,承担一切因您的行为而直接或间接引起的法律责任。

免责声明:本站所有信息均搜集自互联网,并不代表本站观点,本站不对其真实合法性负责。如有信息侵犯了您的权益,请告知,本站将立刻处理。联系QQ:1640731186