2021年11月Apache軟件基金會披露Log4j漏洞已過1年，盡管針對該漏洞本身披露的攻擊數(shù)量遠低于預期，但它仍對企業(yè)組織構成重大威脅。

安全研究人員表示，仍有很大一部分系統(tǒng)未針對該漏洞進行修補，組織在發(fā)現(xiàn)、修復和防止該漏洞上仍面臨挑戰(zhàn)。

Contrast Security的首席安全信息官 David Lindner說表示："Log4j被用于近64%的Java應用程序，而其中只有50%的應用程序已經(jīng)更新到完全固定的版本，這意味著攻擊者將繼續(xù)針對它發(fā)起入侵。至少目前，攻擊者仍在繼續(xù)尋找通過Log4j進行攻擊的途徑。

不斷遭受攻擊，但比預期的要少很多

Log4j漏洞（CVE-2021-44228），通常被稱為Log4 Shell，存在于 Log4j 的 Java 命名和目錄接口 （JNDI） 函數(shù)中，用于數(shù)據(jù)存儲和檢索。它為遠程攻擊者提供了一種非常簡單的方法來控制易受攻擊的系統(tǒng) ， 考慮到Log4J幾乎被用于每個Java應用程序環(huán)境。安全研究人員認為它是近年來最具威脅的漏洞之一，因為它的普遍存在以及攻擊者可以相對容易利用它。

在過去一年，有許多關于攻擊者利用該漏洞作為初始訪問目標網(wǎng)絡的方式進行報道。其中，許多攻擊涉及來自朝鮮、伊朗和其他國家的由國家支持的高級持續(xù)威脅 （APT） 組織。例如，去年11月，美國網(wǎng)絡安全和基礎設施安全局（CISA）警告說，一個由伊朗政府支持的APT組織利用未打補丁的VMware Horizon服務器中的Log4j漏洞，在聯(lián)邦網(wǎng)絡上部署了加密軟件和憑證采集器。此外，關于朝鮮Lazarus Group使用相同的載體在目標系統(tǒng)上部署后門分發(fā)自己的后門的警告以及微軟等其他公司也報告觀察到伊朗的磷組織等國家行為使用Log4在受感染的系統(tǒng)上投擲反向炮彈。

盡管還有其他一些關于有經(jīng)濟動機的網(wǎng)絡犯罪團伙利用Log4j的報道， 但公開報道的涉及Log4的破壞事件的實際數(shù)量仍然較低，特別是與涉及ProxyLogon和ProxyShel等Exchange Server漏洞的事件相比。Tenable公司的首席安全官Bob Huber說，相比于該漏洞的簡單性和普遍的攻擊路徑，報告的攻擊規(guī)模和范圍出乎意料地低于預期。Huber說：直到近期，我們才看到一些有針對性的重要報道，如最近CISA的民族性國家活動。

威脅一直都在，未曾減弱

安全研究人員指出，這并不意味著Log4j的威脅在過去一年中已經(jīng)減弱。

首先，很大一部分企業(yè)仍然像一年前一樣容易受到威脅。根據(jù)Tenable最近進行的一項與該漏洞有關的遙測分析顯示，截至到10月1日，72%的企業(yè)容易受到Log4j的攻擊，全球僅有28%的組織已經(jīng)對該漏洞進行了全面修復。但當這些企業(yè)在向其環(huán)境中添加新的資產時，經(jīng)常又一次地遭到Log4j的漏洞攻擊。

在許多情況下（實際上是 29%），服務器、Web 應用程序、容器和其他資產在初始修復后不久就容易受到 Log4j 的攻擊。

Huber說：假設企業(yè)在軟件的構建管道中建立修復，那么再一次地遭到Log4j漏洞攻擊的概率會減少。是否會再一次地遭到Log4j漏洞攻擊很大程度上取決于一個企業(yè)的軟件發(fā)布周期。

此外，盡管網(wǎng)絡安全社群對這個漏洞的認識幾乎無處不在，但由于應用程序如何使用Log4j，在許多企業(yè)中仍然很難找到有漏洞的版本。Sonatype公司首席技術官Brian Fox說，一些應用程序可能將開源日志組件作為其應用程序的直接依賴項，而在其他情況下，一些應用程序可能將Log4j作為一個交叉依賴項或另一個依賴項的依賴。

Fox說：由于過渡性依賴是從你的直接依賴項的選擇中引入的，它們可能并不總是被你的開發(fā)人員所了解或直接看到。

Fox說，當Apache基金會首次披露Log4Shell時，公司不得不發(fā)出成千上萬的內部電子郵件，在電子表格中收集結果，并遞歸掃描文件系統(tǒng)。這不僅僅花費了公司寶貴的時間和資源來修補該組件，而且延長了該漏洞的惡意影響程度。

來自Sonatype維護的Maven Central Java倉庫的數(shù)據(jù)顯示，目前35% 的 Log4 下載仍來自該軟件的易受攻擊版本。許多公司甚至在開始響應之前仍在嘗試建立他們的軟件清單，并且沒有意識到傳遞依賴性的影響。

根據(jù)上述所有的問題，美國國土安全部審查委員會今年早些時候得出結論：Log4是一個地方性的安全風險，企業(yè)將需要與之抗衡多年。委員會成員評估說，Log4j的脆弱實例將在未來許多年里留在系統(tǒng)中，并使企業(yè)面臨攻擊的風險。

正面的影響

跟蹤該漏洞的安全研究人員表示，Log4j的積極成果是它引起了人們對軟件構成分析和軟件材料清單（SBOM）等實踐的高度關注。企業(yè)在確定他們是否有漏洞或在他們的環(huán)境中可能存在的漏洞時所面臨的挑戰(zhàn)，促進了人們更好地理解對其代碼庫中所有組件的可見性需要，特別是那些來自開源和第三方的組件。

ReversingLabs的CISO Matthew Rose說：對Log4J問題的調查再次證實，除了跟上DevOps速度的SBOMs之外，還需要更好的軟件供應鏈證明。應用安全和架構團隊已經(jīng)意識到，僅僅在源代碼、API或開放源碼包等部分尋找風險是不夠的。他們現(xiàn)在意識到，全面了解應用程序的架構與尋找SQLI或跨站腳本錯誤（XSS）一樣重要。