乐趣区

关于信息安全:火线安全Log4j2-史诗级漏洞波及全球6万开源软件

Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务零碎开发,用来记录日志信息。

近日,Log4j2 被爆呈现史诗级利用老本极低危害极大的破绽,黑客可通过发送一条指令即可控制目标设施。Log4j2 作为根底日志组件被大量根底服务在底层应用,据统计,该破绽影响 6 万 + 风行开源软件,影响 70% 以上的企业线上业务零碎!软件在官网公布破绽修复补丁后仍旧被黑客屡次绕过,简直所有的互联网大厂都在通宵加急解决破绽,防止造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过😭。

近些年,重大威逼破绽频现:

  • 2014 年,心脏滴血破绽让世界上 2/ 3 的 网站心脏滴血
  • 2017 年,永恒之蓝破绽让数百万台主机面临被勒索病毒攻打的危险
  • 2021 年,Log4j2 的破绽再一次影响了互联网上 70% 以上的企业零碎

毫无疑问,这些重大破绽都使得互联网企业及其利用的用户绷紧了弦。

## 01 对开源软件的致命打击

前线平安团队对 Log4j2 及受影响的开源组件进行全面剖析后,对该破绽的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响,而 Java 利用中,对数据库的操作基本上都是通过 ORM 进行的,因而只有是波及到数据库操作的利用,都存在被攻打的危险,危害非常重大。

通过对 Maven 官网仓库的剖析,咱们发现像 Java ORM 一样的根底组件中,存在被攻打危险的高达十几万个,影响几百万个组件的版本。因为篇幅起因,本文将通过不同的维度对存在危险的组件进行展现。

目前咱们仍在持续对数据进行整顿剖析,据不齐全统计,在 Github 上,共有 60644 个开源我的项目公布的 321094 软件包存在危险,影响泛滥支流开源基金会的驰名我的项目。

在目前数据中,Star 数量 Top 10 为:


Apache 基金会下的开源我的项目中,受到 Log4j2 破绽影响的 Top 10 如下:


Java 开发框架中,受到 Log4j2 的影响的 Top 10 如下:


以上数据均来源于前线平安提供的 Apache Log4j2 破绽影响面查问零碎:https://log4j2.huoxian.cn。

02 技术实现

Log4j2 通常作为 Maven/Gradle 我的项目的组件依赖,被引入我的项目中,用于打印日志。在本次排查过程中,咱们剖析了 Maven 官网仓库的全副数据,依据间接援用、间接援用等多种关系,对数据进行关联剖析,最终梳理出全量的受 Log4j2 影响的组件数据;

而后将受影响的组件与 Github 中的开源我的项目进行关联剖析,找到每个组件对应的开源我的项目及我的项目的信息。

03 技术支持

鉴于修复破绽的紧迫性,前线平安将为所有企业提供收费且弱小的技术支持。可通过:https://log4j2.huoxian.cn 进行在线排查或增加前线小助手的微信,获取前线平安收费的相对进攻解决方案,前线平安专家全程技术支持。

对于前线平安

前线平安是基于社区的云平安公司,次要经营洞态 IAST 和前线平安平台。通过自主研发的自动化测试工具和海量的白帽平安专家,助力企业解决利用生命全周期的平安危险。“洞态”是寰球首个开源 IAST 产品,专一于 DevSecOps,帮忙企业发现并解决利用上线前的平安危险。“前线平安平台”是寰球首个社区原生的平安众测平台,注册有近万名白帽平安专家,为企业提供可信的平安众测服务。前线的平安产品与理念博得了来自寰球驰名技术首领陆奇博士、经纬中国、五源资本的投资,代表客户包含字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

前线平安平台官网:huoxian.cn

洞态官网:dongtai.io

退出移动版