7月14日，美國網絡安全審查委員會發布首份報告《回顧2021年12月的Log4j事件》，報告系統梳理了Apache Log4j漏洞的實際影響和未來的威脅。同時指出，Log4j 漏洞風靡全球，而且會長期存在，并將在未來多年引發持續風險。

一、漏洞發現和披露

從2021年11月全球知名開源日志組件Apache Log4j被曝存在嚴重高危險級別遠程代碼執行漏洞（具體見表1）以來，黑客已經在嘗試利用此漏洞并執行惡意代碼攻擊，所有類型的在線應用程序、開源軟件、云平臺和電子郵件服務都可能面臨網絡安全風險。攻擊者可以利用該漏洞遠程。

根據業界眾多網絡安全公司的觀測，目前大多數Log4j漏洞利用主要是挖礦軟件，但攻擊者也在積極嘗試在易受攻擊的系統上安裝更危險的惡意軟件。據外媒報道，漏洞發現以來，Steam、蘋果的云服務受到了影響，推特和亞馬遜也遭受了攻擊，元宇宙概念游戲“Minecraft我的世界”數十萬用戶被入侵。美聯社評論稱，這一漏洞可能是近年來發現的最嚴重的計算機漏洞。

表1  Log4j漏洞披露時間表

二、各方響應

工業網絡安全廠商在監測中已經發現大量的漏洞利用嘗試和成功利用的現象。主要國家的網絡安全監管機構已紛紛發布預警，要求限期修復漏洞。

1. 各國政府積極響應，發布警告應對漏洞威脅

在漏洞爆出之后，主要國家政府及網絡安全監管機構已紛紛發布預警，要求限期修復漏洞。在中國，2021年12月13日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。在美國，2021年12月10日，美國國土安全部網絡安全與基礎設施安全局就該漏洞發出了緊急警報，并敦促各公司采取行動。12月22日，美國CISA、FBI、NSA以及五眼聯盟的另外四個國家的網絡安全機構當地時間12月22日發布聯合網絡安全咨詢公告，警告稱黑客正在“積極利用”最近在Apache日志庫log4j中發現的三個漏洞。除此之外，在漏洞爆出之后，英國國家網絡安全中心整合了新的流程來改進未來的漏洞管理指南，并在整個Log4j事件中加以利用。德國的網絡安全組織就該漏洞發出“紅色警報”，比利時考慮到與該漏洞有關的網絡攻擊，國防部關閉了部分計算機網絡。

2. 各安全公司積極排查，及時修補產品漏洞

各安全公司加緊排查其產品受影響程度并修補他們的產品，同時敦促用戶應用這些更新，突顯及時解決該漏洞問題的緊迫性和廣泛性。西門子在2021年12月13日發現其部分產品線中存在Apache Log4j漏洞，未經身份驗證的遠程攻擊者可能會利用該漏洞在易受攻擊的系統上執行代碼。該公司15日更新的受上述兩個漏洞影響的產品多達35種。除了確定各種緩解措施外，西門子還建議用戶使用適當的機制保護對設備的網絡訪問。為了在受保護的IT環境中操作設備，西門子建議根據西門子工業安全操作指南配置環境。另外一家自動化巨頭施耐德電氣也在當日咨詢報告中表示，將繼續評估Log4j漏洞如何影響其產品，并將在特定產品的緩解信息可用時通過其網絡安全支持門戶向客戶提供更新。知名工業網絡安全公司claroty在其2021年12月14日評估了漏洞對SCADA、ICS和OT的影響，其安全研究團隊Tem82還致力于創建更多概念驗證來復現漏洞，并期望有自動化供應商合作伙伴可以使用這些概念驗證來測試他們的產品是否易受攻擊。2021年12月，思科對其150多款產品進行排查，以尋找Log4j漏洞。到目前為止，思科已發現有三款產品存在該漏洞，并確定有23款產品沒有該漏洞。

三、深遠影響

2021年年末爆發的Log4j 安全漏洞堪稱互聯網歷史上破壞力最驚人的漏洞之一，漏洞波及面和危害程度堪比2017年的“永恒之藍”漏洞。從爆發至今，Log4j漏洞影響的嚴重性、廣泛性已經在各領域開始顯現，并不斷加大。

1. 持續時間長

在美國網絡安全審查委員會發布首份報告《回顧2021年12月的Log4j事件》明確指出，Log4j 是一款開源軟件，開發者已經將其集成到數百萬個系統中。這種無孔不入、無處不在的軟件中的漏洞有能力影響全世界的公司和組織（包括政府）。自從2021年11月曝光的Log4j漏洞已成為一大“持續性流行漏洞”，將在未來多年引發持續風險，換言之，這種無所不在的軟件庫的未經修復版本，將在未來十年或更長時間內繼續留存在各類系統當中。同時，美國網絡安全審查委員會預測，鑒于 Log4j的普遍存在，在未來十年中，易受攻擊的版本仍將存在于系統中，我們將看到利用漏洞的方式不斷演變，所有組織都應具備發現和升級易受攻擊軟件的能力，以及長期維持這些漏洞管理能力的能力。

2.影響面廣

根據統計，有超過35,863個開源軟件 Java 組件依賴于 Log4j，意味著超過 8% 的軟件包里至少有一個版本會受此漏洞影響。漏洞在依賴鏈中越深，修復步驟就越多。根據云安全專家評估，每秒有超過 1000次利用Log4j漏洞的嘗試。Log4j漏洞不僅影響直接使用該庫的基于Java的應用程序和服務，還影響許多其他流行的依賴它的Java組件和開發框架，包括但不限于Apache Struts2、Apache Solr、Apache Druid、Apache Flink、ElasticSearch、ApacheKafka。隨著危機的持續發酵，此次 Log4j 漏洞帶來的損失目前尚無法準確評估。

2022年6月，美國CISA發布警告強調Log4Shell 漏洞目前已經影響了 1800多種產品，產品安全團隊需要額外注意識別任何包含風險 Log4j包的軟件。當前，黑客仍在利用Log4Shell漏洞，專門針對未打補丁的、面向Internet的VMware Horizon和Unified Access Gateway服務器。在《2021年終漏洞快速查看》報告中，CISA強調了Log4j漏洞具有廣泛影響的潛力，自報告發布以來，受影響的產品總數增加了 11.6%。隨著繼續跟蹤漏洞，受Log4j漏洞 影響的產品總數可能會增加。

3.危害性大

自2021年年底Log4j漏洞爆發以來， Mirai、Muhstik等多個僵尸網絡家族利用此漏洞進行傳播。同時，該漏洞利用正在發生快速變異，繞過現有緩解措施，并吸引了越來越多的黑客攻擊者。Check Point的網絡安全研究人員警告說，Log4j漏洞正在快速變異，已經產生60多個更強大的變種，所有變種都在不到一天的時間內產生。

2022 年 4 月以來，針對 VMware Horizon 服務器的Log4j攻擊仍舊不斷持續且有增無減。朝鮮黑客組織 Lazarus 一直通過Log4j 遠程代碼執行漏洞，在未應用安全補丁的 VMware Horizon虛擬桌面平臺中大肆利用 Log4j漏洞來部署勒索軟件及其他惡意程序包。2021年12月，比利時國防部網絡最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫log4j的巨大漏洞實施攻擊，國防部證實這次攻擊是成功利用了log4j的漏洞。

四、應對措施

鑒于Log4j漏洞的普遍存在，考慮到Log4j漏洞的使用規模、利用該漏洞的容易程度以及對該漏洞的廣泛報道，該漏洞對數字生態系統的安全有重大影響。全球私營和公共部門的合作伙伴應采取措施積極應對。

1.持續對Log4j 漏洞保持高度警惕

由于Log4j漏洞在今后若干年長期存在，所有組織應具備發現和升級易受攻擊軟件的能力，以及長期維持這些漏洞管理的能力。所有組織都應繼續主動監控和升級Log4j的易受攻擊版本，優先應用軟件升級，謹慎使用緩解措施，避免可能造成長期暴露的錯誤情況（例如，暴露易受攻擊面的配置錯誤）。同時，運用成熟的業務流程來防止易受攻擊版本的重新引入，采取基于風險的方法來補救Log4j漏洞，以便解決其他嚴重性漏洞。

2. 及時評估安全漏洞風險

根據 Log4j漏洞的嚴重性，所有企業都需要快速評估其業務運營的潛在風險，并制定和執行行動計劃。當前對Log4j漏洞事件做出最有效響應的組織已經擁有技術資源和成熟的流程，可以識別易受攻擊的產品資源、評估潛在風險。要降低Log4j和其他廣泛使用的開源軟件中的漏洞給生態系統帶來風險的可能性，成熟可靠方法是確保代碼的開發符合行業公認的安全編碼實踐，并由安全專家進行相應的審核。

3. 加強漏洞的規范化管理

各組織要積極開展開源軟件安全動員計劃，由 Linux基金會和開放源碼安全基金會領導，呼吁業界采取行動開發軟件組件框架，以加快發現和響應未來的漏洞。同時，組織應對系統上運行的軟件高風險漏洞進行整體評估、匯總、分類和優先級排序，從而來提高其漏洞響應機制的成熟度。同時，各組織應該建立一致的安全開發流程，軟件安全評估和漏洞管理操作流程，以及規范補丁創建和協調披露機制。

五、結語

根據Gartner的相關統計，到 2025年，30%的關鍵信息基礎設施組織將遇到安全漏洞，這將會導致關鍵信息基礎設施運營停止或關鍵型網絡物理系統停止。面對日益嚴峻的安全漏洞形勢，我國亟需加快網絡安全漏洞治理體系建設，提升我國關鍵基礎設施漏洞威脅防御水平，充分發揮漏洞預警管理在網絡空間安全管理中的重要作用。