每经采访人员：朱成祥 每经编辑：梁枭
对于大部分互联网用户而言 ， Apache（阿帕奇）Log4j2是个陌生的词汇 。 但在很多程序员眼中 ， 它却是陪伴自己的好伙伴 ， 每天用于记录日志 。 然而 ， 恰恰是这个被无数程序员每天使用的组件出现漏洞了 。 这个漏洞危害之大 ， 甚至可能超过“永恒之蓝” 。
安恒信息高级应急响应总监季靖评价称：“（Apache Log4j2）降低了黑客攻击的成本 ， 堪称网络安全领域20年以来史诗级的漏洞 。 ”有业内人士还认为 ， 这是“现代计算机历史上最大的漏洞” 。
工信部于2021年12月17日发文提示风险：“阿帕奇Log4j2组件存在严重安全漏洞……该漏洞可能导致设备远程受控 ， 进而引发敏感信息窃取、设备服务中断等严重危害 ， 属于高危漏洞 。 ”
就连国家政府部门也中招了 。 2021年12月下旬 ， 比利时国防部承认他们遭受了严重的网络攻击 ， 该攻击基于Apache Log4j2相关漏洞 ， 网络攻击导致比利时国防部包括邮件系统在内的一些业务瘫痪 。
此漏洞“威力”之大 ， 连国家信息安全也受到波及 。 那么普通企业 ， 特别是采用云服务的企业应该如何应对呢？疫情发生以来 ， 大量企业、机构加速数字化进程 ， 成为“云上企业” 。 传统环境下 ， 企业对自身的安全体系建设拥有更多掌控权 ， 完成云迁移后 ， 这些企业的云安全防护是否到位？
二十年一遇安全漏洞来袭：将成“网络大流感”
2021年12月9日深夜 ， Apache Log4j2远程代码执行漏洞攻击爆发 ， 一时间各大互联网公司“风声鹤唳” ， 许多网络安全工程师半夜醒来 ， 忙着修补漏洞 。 “听说各大厂程序员半夜被叫起来改 ， 不改完不让下班 。 ”相关论坛也对此事议论纷纷 。
为何一个安全漏洞的影响力如此之大？安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰认为：“影响广泛、威胁程度高、攻击难度低 ， 使得此次Apache Log4j2漏洞危机备受瞩目 ， 造成了全球范围的影响 。 ”
“Log4j2是开源社区阿帕奇（Apache）旗下的开源日志组件 ， 被全世界企业和组织广泛应用于各种业务系统开发” ， 季靖表示 ， “据不完全统计 ， 漏洞爆发后72小时之内 ， 受影响的主流开发框架都超过70个 。 而这些框架 ， 又被广泛使用在各个行业的数字化信息系统建设之中 ， 比如金融、医疗、互联网等等 。 由于许多耳熟能详的互联网公司都在使用该框架 ， 因此阿帕奇Log4j2漏洞影响范围极大 。 ”
除了应用广泛之外 ， Apache Log4j2漏洞被利用的成本相对而言也较低 ， 攻击者可以在不需要认证登录这种强交互的前提下 ， 构造出恶意的数据 ， 通过远程代码对有漏洞的系统执行攻击 。 并且 ， 它还可以获得服务器的最高权限 ， 最终导致设备远程受控 ， 进一步造成数据泄露 ， 设备服务中断等危害 。
不仅仅攻击成本低 ， 而且技术门槛也不高 。 不像2017年爆发的“永恒之蓝” ， 攻击工具利用上相对复杂 。 基于Apache Log4j2漏洞的攻击者 ， 可以利用很多现成的工具 ， 稍微懂点技术便可以构造更新出一种恶意代码 。
利用难度低、攻击成本低 ， 意味着近期针对Apache Log4j2漏洞的攻击行为将还会持续一段时间 ， 这将是一场“网络安全大流感” 。
“云上企业”如何防护？
传统模式下 ， 安全人员可以在本地检测、打补丁、修复漏洞 。 相对于传统模式 ， “云上企业”使用的是云计算、云存储服务等 ， 没有自己的机房和服务器 。 进入云环境 ， 安全防护的“边界”不复存在 ， 对底层主机的控制权限也没有本地那么多 ， 同时还多一层虚拟化方面的攻击方式 。