©网络研究院

一年前，随着俄罗斯在其与乌克兰的边境集结军队以及Covid-19 Omicron 变种开始在全球范围内激增，Apache 软件基金会披露了一个漏洞，在全球科技行业掀起了一阵狂热。

该错误称为 Log4Shell，在无处不在的开源日志库 Log4j 中，并公开了广泛的应用程序和服务——从流行的消费者和企业平台到关键基础设施和物联网设备。

现在，经过去年 12 月数周的密集修复和一年的修补累积进展，Log4Shell 不再构成它曾经存在的普遍威胁。

但研究人员警告说，该漏洞仍然存在于全球太多的系统中，并且攻击者将成功利用它多年。

每年都会发现许多急需解决的严重漏洞，但 Log4Shell 是不寻常的，因为它很容易在任何存在的地方被利用，攻击者几乎没有注意事项或微妙之处。

开发人员使用日志实用程序来记录给定应用程序中的操作。要利用 Log4Shell，攻击者需要做的就是让系统记录一个特殊的代码字符串。从那里，他们可以控制他们的目标来安装恶意软件或发起其他数字攻击。

记录器会记录下来，因此引入恶意片段就像将其包含在帐户用户名中或通过电子邮件发送一样简单。

非营利组织 Apache 软件基金会主席称：

日志记录基本上是任何计算机软件或硬件操作的基础。无论是静脉切开机还是应用程序服务器，都会存在日志记录。

我们知道 Log4j 被广泛部署，我们看到了下载数量，但很难完全掌握，因为在开源中你不是在销售产品和跟踪合同。我不认为你会完全理解它，除非你对软件的位置、它正在做的一切以及谁在使用它有一个全面的了解。

而且我认为它如此无处不在是每个人都如此迅速做出反应的一个因素。坦率地说，这有点令人羞愧。

这种情况与关于软件供应链的更广泛讨论以及许多组织没有充分考虑他们在系统中使用的所有软件这一事实产生共鸣，这使得识别和修补易受攻击的代码变得更加困难。

然而，部分挑战在于，即使组织拥有其购买或部署的所有软件的列表，这些程序仍可能包含其他软件组件——特别是开源库和实用程序，如 Log4j——最终客户不是不是特别了解也没有刻意选择。

这会产生像 Log4Shell 这样的漏洞的连锁反应以及补丁的长尾效应，在这种情况下，组织要么没有意识到他们已经暴露，要么没有意识到投资升级的紧迫性。

与此同时，攻击者仍然在他们可能的任何地方积极利用 Log4Shell，从寻找进入目标系统的途径的犯罪黑客到在他们的间谍活动中部署该漏洞的或是国家支持的攻击者。

软件供应链安全公司Chainguard 的首席执行官称：Log4Shell 将作为根本原因的一部分出现在未来十年的数据泄露事件中——只需要一个 Log4Shell 实例就容易受到攻击。

值得庆幸的是，去年大多数消费者并未感受到影响，因为它的严重性如此之高，以至于人们在那个可怕的周末和整个假期都在与攻击者赛跑。

但这会产生经济影响，进行这种补救需要付出巨大的努力。而且我们也不可能为了稍微不那么严重的事情而让每个人都争先恐后。

Apache 在去年 12 月 9 日公开披露情况时，不得不在 2021 年 12 月初准备发布 Log4Shell 的补丁。

结果，研究人员很快找到了补丁的边缘案例和解决方法，Apache 被迫发布多个迭代，这增加了混乱。

开源安全研究员乔纳森莱奇称：这个东西真的无处不在，攻击者在攻击它，安全社区也在攻击它，有效载荷到处飞。

不过，研究人员表示，Apache 的总体反应是可靠的。Apache 已经针对 Log4Shell 传奇做出了改变和改进，并聘请了专职人员来扩展它可以为开源项目提供的安全支持，以便在代码发布之前捕获错误，并在必要时响应事件。

在短短的两周内，我们就解决了问题，这太棒了。在某些方面，这对我们来说并不是一个新情况，我想说我们完美地处理了它。

但现实是，即使在 Apache 软件基金会，这也凸显了我们对使用我们软件的每个人负有的责任。

展望未来，更令人担忧的情况是，即使在一年之后，从 Apache 存储库 Maven Central 和其他存储库服务器下载的大约四分之一或更多的 Log4j 仍然充满了易受攻击的 Log4j 版本。

换句话说，软件开发人员仍在积极维护运行易受攻击的实用程序版本的系统，甚至构建易受攻击的新软件。

软件供应链公司 Sonatype 的联合创始人兼首席技术官称：现实情况是，大多数时候当人们选择一个易受攻击的开源软件组件时，已经有可用的修复程序，该公司运营 Maven Central 也是第三方 Apache 存储库提供商。

我已经存在很长时间了，我已经厌倦了，但这真的很令人震惊。唯一的解释是人们真的不了解他们的软件里面有什么。

在最初争先恐后地解决 Log4Shell 之后，Maven Central 和其他存储库中的版本下载就停滞不前，其中大约 60% 的下载是修补版本，40% 仍然是易受攻击的版本。

在过去三个月左右的时间里，他们看到这一数字首次下降到大约 75/25% 的比例。不过，一年后，四分之一的下载量仍然非常糟糕。

有些人认为 Log4j 是对行业的一次重大唤醒，一种集体的惊慌和觉醒，它帮助我们真正扩展了关于软件供应链安全的信息，因为人们不再否认。

我们一直在谈论的事情现在是真实的了，我们都生活在其中。

但是 Log4j 本身的同行压力就应该迫使每个人都升级，所以如果我们不能让这个达到 100%，那么所有其他的呢？

对于安全研究人员来说，如何解决漏洞的长尾问题一直存在。这个问题不仅适用于开源软件，也适用于专有系统。

想一想将最后 10% 的 Windows 用户从 XP 转移出去花了多少年。

对于这些最坏的情况：开源中的黑天鹅事件，你只知道它们会继续发生，因为社区在反应方面已经变得更好，但开源开发的速度更快。

所以我们必须找到预防和缓解的平衡点，并不断想办法尽可能减少频率。这就像巴特说的：这是我生命中最糟糕的一天。

到目前为止你生命中最糟糕的一天。