阿帕奇安全漏洞在全球范围内拉响警报

12月17日，工信部发布关于阿帕奇Log4j2组件重大安全漏洞风险提示，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本，以降低网络安全风险。

据悉，阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架，由于性能好、利用门槛低，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞（国外将该漏洞命名为Log4Shell），该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，并将漏洞情况告知阿帕奇软件基金会。基金会已将该漏洞严重性列为最高等级。

《中国电子报》记者从网络安全公司奇安信了解到，目前Mirai、Muhstik等多个僵尸网络家族，以及Minerd、HSMiner、HideShadowMiner、BlueHero等多个挖矿病毒家族正利用此漏洞进行扩散。数据安全平台LunaSec透露，有证据表明Steam（游戏平台）以及苹果公司的云服务皆已受到影响。网络安全公司Palo AltoNetwork指出，推特和亚马逊也受到了攻击。此次高危漏洞带来的安全风险已经席卷全球，奥地利、新西兰、美国、德国、中国等多国相关机构相继发出了安全警告。

该漏洞严重性列为最高等级

一般在评估漏洞危害程度时需考虑以下三个因素：攻击者利用漏洞的难度、漏洞利用对目标机器带来的危害、漏洞的影响范围。赛迪智库网络安全研究所助理研究院王伟洁对《中国电子报》记者介绍道：“阿帕奇漏洞被认为是近年来最大的高危型计算机漏洞。首先，攻击者通过JNDI（Java命名和目录接口）注入攻击的形式便可轻松远程执行任何代码，利用方式十分简单；其次，黑客可利用该漏洞直接获得目标机器的最高权限（root权限），导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害；此外，该漏洞影响范围极其广泛，波及到全球数亿台网络设备。”

据了解，阿帕奇工具几乎存在于所有Java（计算机编程语言）应用程序中，而全球有数以亿计的设备安装有Java程序，因此几乎所有行业都会受到该漏洞影响。王伟洁认为，阿帕奇漏洞对互联网行业的影响程度较为严重，该漏洞带来的不仅是黑客造成的资产损失或补救漏洞的经济投入，更严重的是由此造成的声誉危机。另一位专家表示，普通个人用户即便不会直接接触漏洞，但其日常使用的网站服务、软件系统等也会面临不同程度的安全风险。

从当前国内外安全厂商披露的清单来看，目前检测到利用漏洞的攻击活动，最多的是挖矿木马团伙，然后是勒索软件，也有针对高价值目标的APT攻击（高级持续性威胁）。多位业内人士称，此漏洞若得不到有效控制，危害程度堪比2017年的“永恒之蓝”（“永恒之蓝”是黑客团体Shadow Brokers公布的网络攻击工具，利用Windows系统的SMB漏洞可以获取系统最高权限。由“永恒之蓝”改造而成的wannacry勒索病毒，致使美国、英国、俄罗斯、中国等在内的至少150个国家、30万名用户中招，包括政府、银行、电力系统、通讯系统、能源企业、机场等在内的诸多重要基础设施被波及）。

漏洞带来的影响将持续较长时间

腾讯安全专家李铁军在接受《中国电子报》记者采访时表示：“该漏洞之所以影响范围如此广泛，主要是由于Apache log4j组件的涉及面很广，大量网络业务系统构建在其基础上，就像一栋建筑，如果基础出现问题，可能影响全局。同时，也正式因为涉及面广，漏洞修复起来需要大量时间，而该组件又暴露了相关联的其他高危漏洞，所以此次漏洞带来的影响将持续较长时间。”

阿帕奇Log4j2组件本身是一个开源项目。开源软件提高了开发效率，加速了互联网应用的普及，但同时也引入较多的安全风险。“业内之前对于开源组件的漏洞关注度远远不够，需要加强审计。”李铁军指出。

公开数据显示，84%的攻击发生在应用程序，其中又有70%源于各种开源软件。根据国家计算机网络应急中心的统计数据，开源软件的漏洞数呈逐年递增趋势。

传统的漏洞扫描引擎仅依据软件名称及版本号来确定是否存在漏洞。而实际上，开源软件通常会有多个版本分支同时并行，比如GitLab（用于仓库管理系统的开源项目）有社区版和企业版，Jenkins（开源的持续集成工具）有每周更新版和长期支持版，同一个漏洞在不通的版本分支中实际的受影响状态也不同。研究人员在实际验证中发现，大多数镜像都有漏洞，有些镜像漏洞数多达几百个。可见，精准识别漏洞并有针对性地对其进行修复并非易事。

李铁军认为：“用了开源组件，就需要特别关注版本升级，防范供应链攻击。官方组件自身有可能出现漏洞，官方仓库也有可能被不法分子上传‘加工过’的版本，通常这两种情况非安全专家都很难发现，需要依赖安全厂商的服务来检测风险。”

“各机构安全团队需要克服诸多挑战修复该漏洞，包括确定暴露的全部资产范围、针对无法修补的系统寻求变通方法等。此外，攻击者也不断探索新的漏洞利用模式，目前该漏洞已经出现的三个变体。因此，阿帕奇漏洞的影响可能会持续数十年时间。”王伟洁分析称。

国内多家企业发布安全方案

遭遇阿帕奇漏洞后，应该采用哪些措施降低安全风险？王伟洁指出，一是需尽快将使用了阿帕奇工具的程序更新至官方最新安全版本，不能及时升级的用户需根据官方提示手工修改阿帕奇和Java参数配置；二是使用杀毒软件对攻击流量进行拦截。三是禁止所有不必要的外连数据。奇安信安全专家提醒称， Log4j作为日志组件，位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现，相关厂商、用户需密切关注其威胁发展情况。

李铁军指出：“尤其政企机构需要尽快在网络各个节点和应用环境分级部署完整的解决方案，对服务器、终端、网络流量等各层面进行漏洞检测和防御，消除安全短板，排除安全死角，防止黑客利用漏洞对网络进行攻击破坏行动。”另外，还有专家建议，广大普通用户也应尽快对个人电脑进行加固。

令人欣慰的是，针对此次漏洞，国内多家安全企业已经采取措施，积极提供相关安全解决方案。阿里云第一时间开始修复自家的相关受影响系统，并发布了安全公告。奇安信也迅速推出了“一揽子”Log4j2漏洞防护方案，从底层代码、网络传输到上层应用，全面覆盖漏洞的发现、监测、检测和响应处置等全生命周期。腾讯安全将该漏洞收录至腾讯安全漏洞特征库中，CODING 制品扫描基于该漏洞特征库，对引用了受影响版本的 Log4j 2 制品进行了精准定位，并给出修复建议，同时禁止下载含有该安全漏洞的制品，最大限度减少漏洞蔓延。华为、新华三、安恒信息、绿盟科技、360等一众厂商也相继发布安全方案。

网络安全仍需警钟长鸣

实际上，阿帕奇漏洞的出现并非偶然。根据Gartner的相关统计，到 2025 年，30%的关键信息基础设施组织将遇到安全漏洞。安全漏洞总会出现，无法根本上杜绝。在被发现之前，谁也不能推测其存在，也无法预料其后果。李铁军建议称：“对于一般客户而言，需要特别关注相关威胁情报信息；企业最好有专业安全运维队伍来做保障；政企机构需要建设具有弹性的完整安全解决方案，去实时检测、响应、处置各类安全威胁；运维人员更要高度关注高危漏洞信息，及时修补漏洞或采取相应的缓解措施控制风险。”

防患于未然，做好前期预防工作非常重要。王伟洁认为：“一方面，企业需要提高安全意识，未雨绸缪，定期全面检查企业办公系统和应用，发现该漏洞及相关变体后及时修复，并且应该主动建立、严格实施完整的数据备份方案；另一方面，普通用户需培养良好的网络使用习惯，包括及时更新防病毒产品、定期进行病毒扫描等。”

此外，国内现有大量的系统、软件都是基于开源架构 (不仅仅是阿帕奇)，此次安全事件也为我们敲响了警钟。业内资深专家指出，未来在基于开源架构打造软件、构建系统的同时，应该如何更好地保障系统安全、防范和控制软件风险，如何更好地利用和使用开源架构，这些问题需要产业链上的各参与方深入思考。