Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发,用来记录日志信息。

近日,Log4j2 被爆出现史诗级利用成本极低危害极大的漏洞,黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统!软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过😭。

近些年,重大威胁漏洞频现:

  • 2014年,心脏滴血漏洞让世界上 2/3的 网站心脏滴血
  • 2017年,永恒之蓝漏洞让数百万台主机面临被勒索病毒攻击的风险
  • 2021年,Log4j2 的漏洞再一次影响了互联网上70%以上的企业系统

毫无疑问,这些重大漏洞都使得互联网企业及其应用的用户绷紧了弦。

01 对开源软件的致命打击

火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响,而 Java 应用中,对数据库的操作基本上都是通过 ORM 进行的,因此只要是涉及到数据库操作的应用,都存在被攻击的风险,危害十分重大。

经过对 Maven 官方仓库的分析,我们发现像 Java ORM 一样的基础组件中,存在被攻击风险的高达十几万个,影响几百万个组件的版本。由于篇幅原因,本文将通过不同的维度对存在风险的组件进行展示。

目前我们仍在继续对数据进行整理分析,据不完全统计,在 Github 上,共有60644个开源项目发布的321094软件包存在风险,影响众多主流开源基金会的著名项目。

在目前数据中,Star 数量 Top 10 为:


Apache 基金会下的开源项目中,受到 Log4j2 漏洞影响的 Top 10 如下:


Java 开发框架中,受到 Log4j2 的影响的 Top 10 如下:


以上数据均来源于火线安全提供的 Apache Log4j2 漏洞影响面查询系统:https://log4j2.huoxian.cn

02 技术实现

Log4j2 通常作为 Maven/Gradle 项目的组件依赖,被引入项目中,用于打印日志。在本次排查过程中,我们分析了 Maven 官方仓库的全部数据,根据直接引用、间接引用等多种关系,对数据进行关联分析,最终梳理出全量的受 Log4j2 影响的组件数据;

然后将受影响的组件与 Github 中的开源项目进行关联分析,找到每个组件对应的开源项目及项目的信息。

03 技术支持

鉴于修复漏洞的紧迫性,火线安全将为所有企业提供免费且强大的技术支持。可通过:https://log4j2.huoxian.cn进行在线排查或添加火线小助手的微信,获取火线安全免费的绝对防御解决方案,火线安全专家全程技术支持。

关于火线安全

火线安全是基于社区的云安全公司,主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源 IAST 产品,专注于 DevSecOps, 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

火线安全平台官网:huoxian.cn

洞态官网:dongtai.io

03-05 14:24