整理 | 鄭麗媛、禾木木

出品?| CSDN

這幾天，Apache Log4j 2 絕對是眾多 Java 程序員提到的高頻詞之一：由于 Apache Log4j 2 引發(fā)的嚴重安全漏洞，令一大批安全人員深夜修 Bug、打補丁。此次漏洞更是因為其觸發(fā)簡單、攻擊難度低、影響人群廣泛等特點，被許多媒體形容為“核彈級”漏洞。

自 12 月 9 日 Apache Log4j 2 漏洞曝光以來，盡管各大企業(yè)都為此緊急引入了保護機制，但黑客依舊在想法設(shè)法繞過限制利用漏洞。

近日，Apache團隊在發(fā)現(xiàn)2.16版本的問題后，又發(fā)布新的Log4j補丁2.17.0，這已經(jīng)是Log4j大規(guī)模攻擊事件后第3個漏洞補丁。

2.16 版本“在查找評估中并不能總是防止無限遞歸”，并解釋說容易收到拒絕服務(wù)漏洞的攻擊，該漏洞CVSS評分為7.5。

此版本的問題是由 Akamai Technologies 的首席高級業(yè)務(wù)經(jīng)理Hideki Okamoto和一位匿名漏洞研究人員發(fā)現(xiàn)的。

當日志配置使用帶有Context Lookups的非默認模式布局（例如：$${ctx:loginId}）時，控制MDC（映射調(diào)試上下文）輸入數(shù)據(jù)的攻擊者可以惡意輸入包含遞歸Lookup的數(shù)據(jù)，導(dǎo)致StackOverflowError。

針對這個漏洞Apache給出了三種緩解措施。

• 第一就是更新2.17.0補丁。

• 第二種方法是在日志記錄配置的PatternLayout中，用Thread Context Map patterns （%X、%mdc 或 %MDC）替換 Context Lookups（${ctx:loginId} 或 $${ctx:loginId} 等）。

• 最后一種辦法就是在配置中，直接刪除對Context Lookups的引用。

不過，Apache解釋只有“l(fā)og4j-core JAR”文件受2.16版本中漏洞的影響。僅使用“l(fā)og4j-api JAR”文件而不使用“l(fā)og4j-core JAR”文件不會受到影響。

無法估量的潛在危害

據(jù) CPR 統(tǒng)計，在 Apache Log4j 2 漏洞發(fā)現(xiàn)早期的 12 月 10 日，黑客嘗試利用該漏洞進行攻擊的次數(shù)僅有幾千次，但這一數(shù)據(jù)在隔天卻增至 4 萬次。而截至 Check Point 發(fā)布該報告，即漏洞爆發(fā) 72 小時后，僅 CPR 傳感器捕捉到利用該漏洞嘗試攻擊的行為就已超過 83 萬次：

不僅攻擊次數(shù)在持續(xù)攀升，基于該漏洞的新變種也在短時間內(nèi)迅速衍生，截至報告發(fā)布已超過 60 種：

基于這兩個現(xiàn)象，Check Point 認為此次 Apache Log4j 2 漏洞具備“網(wǎng)絡(luò)流行病”的特征——迅速傳播毀滅性攻擊。Check Point 表示：“它顯然是近年來互聯(lián)網(wǎng)上最嚴重的漏洞之一，其潛在危害是無法估量的。”

全球近一半企業(yè)受到影響

“迅速傳播毀滅性攻擊”的前提是，這個漏洞影響著全球大量組織，像野火般蔓延。這一點，作為一個特別通用的開源日志框架，Apache Log4j 2 無疑具備這個特點：Check Point 表示，全球近一半企業(yè)因為該漏洞受到了黑客的試圖攻擊。

在被波及的企業(yè)中，系統(tǒng)集成商（SI）/增值代理商（VAR）/經(jīng)銷商受到的沖擊最大（59.1%），其次是便是教育與科研行業(yè)（56.9%），互聯(lián)網(wǎng)服務(wù)提供商（ISP）/管理服務(wù)提供商（MSP）也是這次漏洞的主要“受害者”之一，近 55.1% 的企業(yè)受到影響：

值得一提的是，對比其他國家，中國受 Apache Log4j 2 漏洞影響相對較小：即便在漏洞爆發(fā)高峰期，也只有近 34% 的企業(yè)受到波及。這或許與漏洞剛被曝出時，國內(nèi)如阿里云、斗象科技、綠盟科技、默安科技、奇安信等眾多安全廠商第一時間發(fā)布危害通報有關(guān)，使許多企業(yè)足以趕在黑客利用漏洞高峰期之前便打好補丁。

但 Check Point 指出，由于 Apache Log4j 2 應(yīng)用范圍大、漏洞修復(fù)較為復(fù)雜，而利用漏洞卻十分簡便，因此除非企業(yè)和相關(guān)服務(wù)立即采取行動并實施保護以防止對其產(chǎn)品的攻擊，否則這個 Apache Log4j 2 漏洞很可能在未來幾年內(nèi)也將一直存在。

到目前為止，已有近5000個artifacts被修復(fù)，還有 30000個受影響。

參考鏈接：

https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw

https://www.zdnet.com/article/apache-releases-new-2-17-0-patch-for-log4j-to-solve-denial-of-service-vulnerability/

往期推薦

虛幻引擎5上的《黑客帝國》全新體驗，愛了愛了

元宇宙真的是割韭菜嗎？

Redis會遇到的坑，你踩過幾個？

核彈級漏洞，把log4j扒給你看！

點分享

點收藏

點點贊

點在看

總結(jié)

以上是生活随笔為你收集整理的Log4j 第三次发布漏洞补丁，漏洞或将长存的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。