Log4j漏洞为开源软件安全敲响警钟

技经观察丨Log4j漏洞为开源软件安全敲响警钟

一、Log4j漏洞形成的原因

（一）Log4j概述

Log4j是一个基于Java的开源日志框架，用于收集和管理有关系统活动的信息。自1999年该框架问世以来，它逐渐成为软件开发中广泛使用的构建模块，已被全球的开发人员集成到数千个软件包中。目前，Log4j框架在开源软件组织Apache软件基金会（Apache Software Foundation，ASF）的Apache日志服务（Apache Logging Services）项目下进行维护。

（二）Log4j漏洞起源-技术层面

Log4j漏洞产生的原因是软件在配置、日志消息和参数中使用的Java命名和目录接口（Java Naming and Directory Interface，JNDI）功能不能防止攻击者控制轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）和其他JNDI相关端点。当启用消息查找替换功能时，具有控制日志消息与日志消息参数权限的攻击者可以执行从LDAP服务器加载的任意代码。这意味着上述攻击者可以注入欺诈性消息，从而实现任意代码执行和控制受攻击的系统。

另外，其他外在因素也放大了Log4j漏洞的影响规模、复杂度和风险级别：

Log4j已经被整合到全球数千个软件包中，许多国家的 络基础设施和政府系统都依赖于它；

Log4j很容易被攻击者利用，一旦被利用，攻击者可以高度控制系统。

（三）Log4j漏洞起源-管理层面

从管理层面出发，CSRB指出了与维护Log4j等开源项目相关的特定挑战。一是开源项目通常依赖志愿者团队维护，并且在整个软件开发生命周期中不一定拥有专门的安全团队。开源项目通常没有专门的漏洞披露和响应团队，这类团队可以调查漏洞的根本原因并努力解决这些问题。与行业惯例一致，ASF和Log4j团队不管理也不知道谁在使用他们的软件，或是怎样使用他们的软件。二是像Log4j这样的开源项目会公开源代码，其中安全性变化在开发过程中也是公开可见的。这表明 区对漏洞的响应要与发布修补程序同时进行，以便在官方补丁发布前缩小恶意利用漏洞的时间窗口。

常见开源项目 图源：GISMentors

上述情况构成了巨大的潜在风险面：高风险目标较为脆弱且数量庞大，但安全团队通常无法确定易受攻击代码在系统中的位置，进而导致一些国家 络基础设施和政府系统等重要的骨干 络易受攻击。

二、Log4j漏洞的发现和披露

2021年11月24日，中国阿里巴巴集团安全团队的一名工程师通过邮件向ASF 告了Log4j漏洞，并提供了该漏洞的相关信息，包括问题描述、易受攻击的代码指针、概念说明和屏幕截图。

12月9日，阿里巴巴集团的工程师通过邮件通知ASF，微信中出现了有关Log4j漏洞的讨论，并提供了相关内容的链接。微信上有关Log4j漏洞的消息是由中国 安公司北京边界无限科技有限公司发布，其中包含一张漏洞利用的截图证明。ASF一并获悉推特上也在传播该漏洞的使用消息后，遂在原计划之前发布了一个官方修复补丁，并在12月10日公布将Log4j框架升级到2.15.0版本。

随着CVE?2021?44228的公开披露，研究人员相继发现了Log4j框架中的其他漏洞并将其 告给ASF。ASF按照其标准流程对这些 告进行分类、分配CVE标识符，并向开源 区提供软件升级。

三、对Log4j漏洞的利用情况及相关方响应

（一）Log4j漏洞的利用情况

CSRB审查了机密和非机密的政府信息及行业数据后，没有发现在2021年12月9日之前恶意利用Log4j漏洞的情况。

漏洞公布后，对Log4j漏洞的利用活动迅速增加。不过，由于安全公司也会进行大量的漏洞扫描活动，很难区分哪些是恶意活动。在漏洞披露5天后，美国 络安全公司Cloudflare观察到每秒400次利用Log4j漏洞的攻击尝试，以及总共数百万次对易受攻击系统的扫描。

图源：Kaspersky

（二）对Log4j漏洞的响应

2021年12月10日，CISA发表声明，重点强调了ASF的建议，并鼓励用户和管理员立即升级系统或采取缓解措施。12月17日，CISA发布了22-02 紧急指令（ED），该指令详细说明了易受攻击产品的缓解措施和补丁优先级建议，并要求民事行政部门机构在两周内解决Log4j漏洞问题。在信息披露后的几天里，CISA专注于促进与受信任的合作伙伴进行合作，如通过卡内基·梅隆大学的漏洞信息和协调环境（VINCE）软件漏洞团队了解工业控制系统（ICS）供应商的系统缓解方法。CISA还与新成立的联合 络防御合作组织（JCDC）进行了协作沟通，JCDC促进了跨部门数据的收集、组织和整合，以确认漏洞的影响程度并支持推出全面的补救方法。

（三）Log4j漏洞事件分析

Log4j漏洞事件说明了对于整个生态系统和单个企业而言，违反直觉的 络安全风险是存在的。

四、建议

CSRB认识到Log4j漏洞的影响正在持续扩大，并且该漏洞还会继续地在各组织中暴露，所以开源 区应改进机制、提高防范意识，以预防下一个Log4j类型的事件发生，并对当前的风险采取干预和补救措施。因此，该机构在其职责下提出相关建议。

CSRB的安全建议分为四个主题：一是解决Log4j存在的持续风险：要对修补Log4j漏洞的进度保持长期追踪；二是推动现有最佳 络安全实践：采用行业公认的漏洞管理和 络安全实践及标准；三是构建更好的软件生态系统：推动软件系统向主动漏洞管理模式转型；四是未来投资：研究解决国家数字和 络安全所必须的文化和技术转变方向。

具体包括以下内容：

（一）解决Log4j的持续风险建议

CSRB预测，由于Log4j框架的广泛使用，易受攻击的框架版本在未来十年内还会留存在各大系统中，安全人员将会看到对Log4j漏洞利用技术的演变。CSRB基于此提出了如下建议：

1.各组织应对修补Log4j漏洞做好充分准备。

2.各组织应继续 告对Log4j漏洞利用的情况。

3.CISA应提高其协调和发布权威的 络安全信息的能力。

4.美国联邦和州的监管机构应推动CISA指南的落地实施。

6.各组织应维护技术资产和应用程序清单。

7.各组织应有明确的漏洞响应计划。

8.各组织应有明确的漏洞披露和处理流程。

9.软件开发和维护在实践中应注重安全性。

（二）构建更完善的软件生态系统

Log4j事件说明，发展行业认可的实践标准和技术是有必要的，这些实践标准和技术将保证软件在设计上是安全的。CSRB基于此提出了如下建议：

1.开源软件开发人员应参与开源 区的安全计划。

2.各组织应加强对软件开发人员的安全开发培训。

3.提高软件物料清单（SBOM）工具的可用性，以便更好了解软件的安全性和软件供应链的依赖关系。

4.加大对开源软件安全性的投入。

5.开展试点，对应用于关键服务的开源软件进行维护支持。

（三）未来投资

为了解决当前软件生态系统中存在的重大挑战，创新解决方案是有必要的。CSRB针对这一目标提出了如下建议：

1.探索制定政府供应商软件透明度的基本要求。

2.检查 络安全 告系统（CSRS）的有效性。

3.探索建立软件安全风险评估中心（SSRACE）的可行性。

4.研究构建安全软件所需的激励机制。

五、评析

2021年末曝出的Log4j安全漏洞堪称互联 历史上破坏力最惊人的漏洞之一，漏洞波及面和危害程度堪比2017年的“永恒之蓝”漏洞。Log4j漏洞的影响仍在持续，虽然目前还没发现由Log4j漏洞而引发的重大 络攻击,但它仍有在未来几年被用于 络攻击的风险。美国 络安全公司Check Point Research的研究显示，到2021年底，针对企业的 络攻击数量激增50%，主要归咎于对Log4j漏洞的尝试性利用。

《Log4j 告》显示，尽管ASF已经推出了关键漏洞的更新，但用户仍可能会被ASF软件中多年未能更新的旧问题所困扰，并继续使用已知未修复漏洞的软件版本。这会对未来 络安全防御措施产生阻碍。

由于美国政府和信息技术行业对开源软件的高度依赖，美国格外重视开源软件安全问题。Log4j事件后，美国白宫在2022年1月和5月两度举办开源软件峰会，召集政府部门、开源组织和科技巨头探讨美国开源软件安全问题，最终达成了数据共享、安全教育、事件响应和供应链改进等方面的共识，并推动了一项为期2年、价值1.5亿美元的开源安全投资计划。最新发布的《Log4j 告》为开源软件的健康发展提供了有益指导，尤其是为政府引导和投资安全的开源基础设施软件指明了方向。从开源软件的发展角度，《Log4j 告》旨在助力美国建立世界领先的监管架构，从而激发开源软件健康发展的活力和持久力。

近年来，中国对开源软件和开源代码的采用度不断上升，互联 和云服务行业首当其冲。同时，中国开发者在GitHub 区中的贡献率上升至全球第二。在享受开源软件为技术研发带来便利的同时，也应充分重视知识产权和技术安全等方面的风险，并加强劳动力培养、知识产权保护和供应链安全建设。对于《Log4j 告》中的有益内容，可选择性地借鉴、参考。

附：CSRB和ASF机构介绍

美国国土安全部 络安全审查委员会（CSRB）：CSRB根据美国总统拜登签署的14028 行政命令而成立，编制15人。国土安全部负责战略、政策和计划的副部长罗伯特·希尔维斯（Robert Silvers）任CSRB主席，其他人员包括美国各联邦机构和大型科技公司高管。CSRB于2022年2月开始审查和评估重大 络安全事件，以便政府、行业和其他利益相关者更好地保护美国的 络和基础设施。该委员会的首项任务是调查Log4j漏洞的产生原因，并提出建议。

Apache软件基金会（ASF）：ASF是一家美国的非营利组织，旨在支持各类开源软件项目。ASF最初由Apache HTTP Server的一群开发者组成，并在1999年3月25日正式成立。截至2021年，阿帕奇基金会 区的总成员数大约在1000名。

刘纪铖国务院发展研究中心国际技术经济研究所研究二室，助理分析员

研究方向：信息领域战略、技术和产业前沿

联系方式：liujc206@163.com

唐乾琛国务院发展研究中心国际技术经济研究所研究二室，三级分析员

研究方向：信息领域战略、技术和产业前沿

联系方式：tangqc96@163.com

研究所简介

地址：北京市海淀区小南庄20 楼A座

微信：iite_er