2021年12月，一個“核彈級”漏洞（Log4Shell ）被爆出，驚擾了全世界的企業(yè)安全人員的美夢。Log4j漏洞利用成本極低，可以直接任意代碼執(zhí)行，并接管目標服務器，它的潛在危害嚴重性和影響面可以說是2021年之最，在短時間內(nèi)就讓全球近半數(shù)的企業(yè)網(wǎng)絡遭遇了攻擊，并在互聯(lián)網(wǎng)上迅猛擴散。

那么Log4j漏洞到底是怎么一回事？負責保護和交付數(shù)字化體驗且深受全球企業(yè)信賴的解決方案提供商阿卡邁技術公司（Akamai Technologies, Inc.，以下簡稱：Akamai）對Log4j 漏洞的背景、漏洞利用攻擊和環(huán)境措施、以及經(jīng)驗教訓等情況進行了詳細回溯分析。

漏洞利用攻擊形式多樣、攻擊面廣泛

Log4j是Apache的一個開源項目，通過使用Log4j，可以控制日志信息輸送的目的地是控制臺、文件、GUI組件，甚至是套接口服務器、NT的事件記錄器、UNIX Syslog守護進程等，也可以控制每一條日志的輸出格式，通過定義每一條日志信息的級別，還夠更加細致地控制日志的生成過程。這些可以通過一個配置文件來靈活地進行配置，而不需要修改應用的代碼。

Log4j 庫的普及，以及它提供的查找、嵌套和 JNDI 等豐富的功能，使該漏洞給攻擊者大開方便之門。這些強大的功能給開發(fā)者提供了便利，但也讓攻擊者有機可乘，讓他們能通過傳遞請求來引發(fā)數(shù)據(jù)滲漏或遠程代碼執(zhí)行 (RCE)。

 JNDI（Java 命名和目錄接口) 是 Java 開發(fā)和運行環(huán)境中原生構建的一種機制，它通過一個通用接口簡化了查詢各種不同目錄服務以獲得信息的過程。如果沒有 JNDI 查詢，這個漏洞也就不會存在。

JNDI 不僅允許查詢 Java 運行時環(huán)境內(nèi)的本地數(shù)據(jù)，還允許查詢 DNS 和 LDAP 等遠程系統(tǒng)。攻擊者可以將 JNDI 與遠程系統(tǒng)、env 查找和嵌套相結合，創(chuàng)建出只需添加到要記入日志的文本中就能引發(fā)數(shù)據(jù)滲漏的攻擊載荷。只要向 Log4j 傳送精心編制的攻擊載荷，就能輕易泄露出目標環(huán)境的數(shù)據(jù)。

簡而言之，只要某個環(huán)境中運行的軟件包含能被 Log4j 查找表達式訪問且存在漏洞的代碼，那么攻擊者就能通過嵌套的手法，輕而易舉地將該環(huán)境中的信息強制傳送到由攻擊者控制的系統(tǒng)中。

另外，某些 Java 版本中的 JNDI 實現(xiàn)默認允許一些目錄服務直接或間接地通過遠程代碼響應查詢，隨后發(fā)起查詢的機器可以在本地執(zhí)行這些遠程代碼。例如，在存在漏洞的安裝環(huán)境內(nèi)，LDAP 目錄服務提供程序允許 LDAP 服務器使用稱為 引用的內(nèi)容來響應查詢。這種引用會列出將下載到本地并在本地執(zhí)行的代碼的遠程位置。

這些威脅極大的攻擊都需要向 Log4j 傳遞專門編制的消息，攻擊者利用受攻擊系統(tǒng)可將其提供的信息記錄到日志中的任何機會。

據(jù)Akamai觀察發(fā)現(xiàn)，基于 Web 的應用程序目前是主要攻擊目標，遭受攻擊的頻率遠超過其他任何攻擊目標。但值得注意的是，符合以下條件的任何服務都有可能成為漏洞利用者的攻擊媒介：

• 運行 Java
• 利用存在漏洞的 Log4j 版本記錄日志消息
• 記錄攻擊者提供的任何信息（URL、標頭、Cookie、查詢等）

此外，Akamai 還在現(xiàn)實攻擊環(huán)境中觀察到另一種針對 DNS 的攻擊媒介，攻擊方法是在 DNS 響應中嵌入攻擊載荷。

Log4j 是 Java 世界中應用最廣泛的日志庫之一，而全世界有數(shù)十億的設備運行 Java。可想而知，這個漏洞實際的威脅面遠超我們的想象，嚴重性也不言而喻了。

Akamai建議及時安裝系統(tǒng)補丁，正確實施緩解措施

隨著時間的推移，攻擊者可用來針對Log4j 漏洞發(fā)起攻擊的攻擊媒介數(shù)量也越來越多， 而唯一真正的解決方案就是為所有存在漏洞的系統(tǒng)裝好補丁。對此，Akamai 提出了一些行動方案建議：

• 對于能夠安裝補丁的系統(tǒng)，立即予以修補。此舉可提供理想的防護措施，確保您運行的 Log4j 是最新版本。
• 如果您已經(jīng)確定某些系統(tǒng)存在漏洞，但由于客觀原因無法立即為其升級 Log4j，那么應該盡可能使用如下設置減小威脅面：
• 對于 Log4j 2.10 及更高版本，在啟動時向應用程序傳遞“-Dlog4j2.formatMsgNoLookups=true”，這樣做可以禁用查找表達式。對于 Java，確保您的系統(tǒng)上采用了如下設置：com.sun.jndi.ldap.object.trustURLCodebase=false com.sun.jndi.rmi.object.trustURLCodebase=false
• 運行 WAF（比如 Akamai 卓越的 Kona 解決方案）來保護您的所有 Web 應用程序，以幫助過濾掉攻擊企圖。無論是內(nèi)部還是外部服務器，都應該采取這種保護措施。
• 運行 DNS 防火墻（比如 Akamai Enterprise Threat Protector），以監(jiān)測在您的環(huán)境中橫向移動的可疑 DNS 攻擊載荷，并予以阻止。
• 運行相關工具來全面監(jiān)測整個環(huán)境中運行的內(nèi)容，包括本地物理機器與云環(huán)境。利用各種工具（比如 Akamai Guardicore Segmentation 提供的工具）來監(jiān)測您環(huán)境中運行的所有內(nèi)容，利用這些工具來尋找您先前可能并不知道存在漏洞的應用程序。
• 盡可能減少涉及到受影響應用程序的通信。利用基于身份的細分機制（例如 Akamai Guardicore Segmentation 的細分機制）來限制可以與哪些存在漏洞的系統(tǒng)進行通信。

Akamai 還建議，在設計和執(zhí)行修補策略時，同時實施這些抵御策略可以顯著降低存在漏洞的系統(tǒng)面臨的風險。

Akamai 發(fā)揮自身優(yōu)勢，進行漏洞風險量化評估

隨著Log4j 漏洞危機的持續(xù)發(fā)酵，其風險廣泛程度也引起了大家的密切關注。對于此，Akamai 威脅研究實驗室利用自身對于全球海量數(shù)據(jù)中心的監(jiān)測能力，從全球 200 多個不同行業(yè)、不同規(guī)模的數(shù)據(jù)中心收集了相關數(shù)據(jù)，評估了 Log4j 漏洞給企業(yè)帶來的實際風險：

• 在所有接受檢查的 Java 服務器中，有三分之二的服務器使用存在漏洞的 Log4j 框架。
• 在所研究的數(shù)據(jù)中心內(nèi)，有 91% 在運行 Java 服務器端應用程序；在這部分數(shù)據(jù)中心內(nèi)，40% 以上具有面向互聯(lián)網(wǎng)的 Java 服務器。
• 觀察出站通信模式時，我們所研究的絕大多數(shù) Java 應用程序都通過少數(shù)幾個端口通信。
• 分析出站通信模式可以幫助企業(yè)檢測異常行為，并且緩解 Log4Shell 所造成的部分風險。

Akamai 威脅研究實驗室通過探究 Java 服務器的通信模式發(fā)現(xiàn)，對允許從數(shù)據(jù)中心的不同服務器和進程外發(fā)的通信加以限制十分重要。針對迄今為止始終通過一組特定端口通信的一個進程，識別其第一次與某個目標端口通信的情況，這樣就能有效地辨別攻擊企圖，可以為安全和 IT 從業(yè)者提供必要的信息，幫助其檢測和抵御環(huán)境中的異常問題，最終阻止 Log4j漏洞利用攻擊，并讓正常的業(yè)務運營不受干擾。

據(jù)悉，在全球各地有數(shù)百個數(shù)據(jù)中心使用 Akamai Guardicore Segmentation 來實現(xiàn)進程級網(wǎng)絡監(jiān)測，以及相關措施的實施。因此Akamai能夠觀測在網(wǎng)絡內(nèi)進行的所有網(wǎng)絡連接，能夠研究數(shù)據(jù)中心和云端網(wǎng)絡內(nèi)部以及跨越其安全邊界的網(wǎng)絡通信模式，從而總結出了Log4j 漏洞給我們的數(shù)字生活帶來的風險的整體量級參考。 

Log4j 漏洞的爆發(fā)為我們敲響了網(wǎng)絡安全的警鐘，每個企業(yè)都應該準備一套應對策略，以備不時之需。Akamai 針對 Log4j 漏洞的分析與研究，理清了事件本質(zhì)， 明確了緩解措施，為網(wǎng)絡安全人員抵御安全風險提供了重要參考和借鑒。