工业和信息化部主管 中国电子报社主办
收藏本站投稿

软件服务

阿帕奇安全漏洞在全球范围内拉响警报

微信截图_20211219180151.png

12月17日,工信部发布关于阿帕奇Log4j2组件重大安全漏洞风险提示,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本,以降低网络安全风险。

据悉,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,由于性能好、利用门槛低,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞(国外将该漏洞命名为Log4Shell),该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,并将漏洞情况告知阿帕奇软件基金会。基金会已将该漏洞严重性列为最高等级。

《中国电子报》记者从网络安全公司奇安信了解到,目前Mirai、Muhstik等多个僵尸网络家族,以及Minerd、HSMiner、HideShadowMiner、BlueHero等多个挖矿病毒家族正利用此漏洞进行扩散。数据安全平台LunaSec透露,有证据表明Steam(游戏平台)以及苹果公司的云服务皆已受到影响。网络安全公司Palo AltoNetwork指出,推特和亚马逊也受到了攻击。此次高危漏洞带来的安全风险已经席卷全球,奥地利、新西兰、美国、德国、中国等多国相关机构相继发出了安全警告。

该漏洞严重性列为最高等级

一般在评估漏洞危害程度时需考虑以下三个因素:攻击者利用漏洞的难度、漏洞利用对目标机器带来的危害、漏洞的影响范围。赛迪智库网络安全研究所助理研究院王伟洁对《中国电子报》记者介绍道:“阿帕奇漏洞被认为是近年来最大的高危型计算机漏洞。首先,攻击者通过JNDI(Java命名和目录接口)注入攻击的形式便可轻松远程执行任何代码,利用方式十分简单;其次,黑客可利用该漏洞直接获得目标机器的最高权限(root权限),导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害;此外,该漏洞影响范围极其广泛,波及到全球数亿台网络设备。”

据了解,阿帕奇工具几乎存在于所有Java(计算机编程语言)应用程序中,而全球有数以亿计的设备安装有Java程序,因此几乎所有行业都会受到该漏洞影响。王伟洁认为,阿帕奇漏洞对互联网行业的影响程度较为严重,该漏洞带来的不仅是黑客造成的资产损失或补救漏洞的经济投入,更严重的是由此造成的声誉危机。另一位专家表示,普通个人用户即便不会直接接触漏洞,但其日常使用的网站服务、软件系统等也会面临不同程度的安全风险。

从当前国内外安全厂商披露的清单来看,目前检测到利用漏洞的攻击活动,最多的是挖矿木马团伙,然后是勒索软件,也有针对高价值目标的APT攻击(高级持续性威胁)。多位业内人士称,此漏洞若得不到有效控制,危害程度堪比2017年的“永恒之蓝”(“永恒之蓝”是黑客团体Shadow Brokers公布的网络攻击工具,利用Windows系统的SMB漏洞可以获取系统最高权限。由“永恒之蓝”改造而成的wannacry勒索病毒,致使美国、英国、俄罗斯、中国等在内的至少150个国家、30万名用户中招,包括政府、银行、电力系统、通讯系统、能源企业、机场等在内的诸多重要基础设施被波及)。

漏洞带来的影响将持续较长时间

腾讯安全专家李铁军在接受《中国电子报》记者采访时表示:“该漏洞之所以影响范围如此广泛,主要是由于Apache log4j组件的涉及面很广,大量网络业务系统构建在其基础上,就像一栋建筑,如果基础出现问题,可能影响全局。同时,也正式因为涉及面广,漏洞修复起来需要大量时间,而该组件又暴露了相关联的其他高危漏洞,所以此次漏洞带来的影响将持续较长时间。”

阿帕奇Log4j2组件本身是一个开源项目。开源软件提高了开发效率,加速了互联网应用的普及,但同时也引入较多的安全风险。“业内之前对于开源组件的漏洞关注度远远不够,需要加强审计。”李铁军指出。

公开数据显示,84%的攻击发生在应用程序,其中又有70%源于各种开源软件。根据国家计算机网络应急中心的统计数据,开源软件的漏洞数呈逐年递增趋势。

传统的漏洞扫描引擎仅依据软件名称及版本号来确定是否存在漏洞。而实际上,开源软件通常会有多个版本分支同时并行,比如GitLab(用于仓库管理系统的开源项目)有社区版和企业版,Jenkins(开源的持续集成工具)有每周更新版和长期支持版,同一个漏洞在不通的版本分支中实际的受影响状态也不同。研究人员在实际验证中发现,大多数镜像都有漏洞,有些镜像漏洞数多达几百个。可见,精准识别漏洞并有针对性地对其进行修复并非易事。

李铁军认为:“用了开源组件,就需要特别关注版本升级,防范供应链攻击。官方组件自身有可能出现漏洞,官方仓库也有可能被不法分子上传‘加工过’的版本,通常这两种情况非安全专家都很难发现,需要依赖安全厂商的服务来检测风险。”

“各机构安全团队需要克服诸多挑战修复该漏洞,包括确定暴露的全部资产范围、针对无法修补的系统寻求变通方法等。此外,攻击者也不断探索新的漏洞利用模式,目前该漏洞已经出现的三个变体。因此,阿帕奇漏洞的影响可能会持续数十年时间。”王伟洁分析称。

国内多家企业发布安全方案

遭遇阿帕奇漏洞后,应该采用哪些措施降低安全风险?王伟洁指出,一是需尽快将使用了阿帕奇工具的程序更新至官方最新安全版本,不能及时升级的用户需根据官方提示手工修改阿帕奇和Java参数配置;二是使用杀毒软件对攻击流量进行拦截。三是禁止所有不必要的外连数据。奇安信安全专家提醒称, Log4j作为日志组件,位于软件供应关系的较底层。因此供应链对此漏洞的放大效应将逐渐显现,相关厂商、用户需密切关注其威胁发展情况。

李铁军指出:“尤其政企机构需要尽快在网络各个节点和应用环境分级部署完整的解决方案,对服务器、终端、网络流量等各层面进行漏洞检测和防御,消除安全短板,排除安全死角,防止黑客利用漏洞对网络进行攻击破坏行动。”另外,还有专家建议,广大普通用户也应尽快对个人电脑进行加固。

令人欣慰的是,针对此次漏洞,国内多家安全企业已经采取措施,积极提供相关安全解决方案。阿里云第一时间开始修复自家的相关受影响系统,并发布了安全公告。奇安信也迅速推出了“一揽子”Log4j2漏洞防护方案,从底层代码、网络传输到上层应用,全面覆盖漏洞的发现、监测、检测和响应处置等全生命周期。腾讯安全将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时禁止下载含有该安全漏洞的制品,最大限度减少漏洞蔓延。华为、新华三、安恒信息、绿盟科技、360等一众厂商也相继发布安全方案。

网络安全仍需警钟长鸣

实际上,阿帕奇漏洞的出现并非偶然。根据Gartner的相关统计,到 2025 年,30%的关键信息基础设施组织将遇到安全漏洞。安全漏洞总会出现,无法根本上杜绝。在被发现之前,谁也不能推测其存在,也无法预料其后果。李铁军建议称:“对于一般客户而言,需要特别关注相关威胁情报信息;企业最好有专业安全运维队伍来做保障;政企机构需要建设具有弹性的完整安全解决方案,去实时检测、响应、处置各类安全威胁;运维人员更要高度关注高危漏洞信息,及时修补漏洞或采取相应的缓解措施控制风险。”

防患于未然,做好前期预防工作非常重要。王伟洁认为:“一方面,企业需要提高安全意识,未雨绸缪,定期全面检查企业办公系统和应用,发现该漏洞及相关变体后及时修复,并且应该主动建立、严格实施完整的数据备份方案;另一方面,普通用户需培养良好的网络使用习惯,包括及时更新防病毒产品、定期进行病毒扫描等。”

此外,国内现有大量的系统、软件都是基于开源架构 (不仅仅是阿帕奇),此次安全事件也为我们敲响了警钟。业内资深专家指出,未来在基于开源架构打造软件、构建系统的同时,应该如何更好地保障系统安全、防范和控制软件风险,如何更好地利用和使用开源架构,这些问题需要产业链上的各参与方深入思考。

责任编辑:赵强


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2021年上半年中国家电市场报告

8月9日,中国电子信息产业发展研究院(又称赛迪研究院)发布了《2021年上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,2021年上半年,我国家电市场加速回暖,零售额达4293亿元,同比增长16.3%;家电消费进一步向线上迁移,电商渠道对家电零售的贡献率达53.65%;家电产品均价普遍提升,高端家电销售热度不减,有效促进了消费升级...

新思想引领新征程·红色足迹

党的十八大以来,习近平总书记在地方考察调研时多次到访革命纪念地,强调要从中国革命历史、优良传统和精神中汲取养分。追寻红色足迹,感悟初心使命。即日起,本报推出“新思想引领新征程·红色足迹”专栏,跟随习近平总书记的红色足迹,访当事人、忆当年事,重温总书记的重要论述和重要指示精神,生动回顾红色圣地光荣的革命历史、优秀的革命传统...

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

世界超高清视频(4K/8K)产业发展大会

会议

2021世界VR产业大会云峰会

10月19日—20日,由工业和信息化部和江西省人民政府共同主办的2021世界VR产业大会云峰会在南昌举办。国务委员王勇出席大会开幕式并发表讲话,江西省委书记易炼红,工业和信息化部副部长王志军,江西省委常委、南昌市委书记李红军出席开幕式并致辞。

2021世界显示产业大会

6月17日,由工业和信息化部、安徽省人民政府共同主办的2021世界显示产业大会在合肥市开幕。安徽省委书记李锦斌出席开幕式并宣布大会开幕,安徽省省长王清宪、上海合作组织秘书长弗拉基米尔·诺罗夫、工业和信息化部副部长王志军出席开幕式并先后致辞。

2021世界超高清视频(4K/8K)产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2021世界超高清视频(4K/8K)产业发展大会在广州召开。5月9日,广东省委书记李希出席开幕式,工业和信息化部部长肖亚庆、广东省省长马兴瑞、国家广播电视总局副局长孟冬、中央广播电视总台编务会议成员姜文波出席开幕式并致辞。

CITE2021第九届中国电子信息博览会开幕论坛

4月9日,第九届中国电子信息博览会(简称CITE2021)在深圳举办。深圳市人民政府市长陈如桂、广东省人民政府副秘书长陈岸明、工业和信息化部电子信息司司长乔跃山出席开幕式并先后致辞。

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

世界显示产业大会

本周排行