前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件

火线安全:Log4j2 史诗级漏洞波及全球6万+开源软件

作者头像
why技术
发布2021-12-17 19:58:51
1.1K0
发布2021-12-17 19:58:51
举报
文章被收录于专栏:why技术

Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发,用来记录日志信息。

近日,Log4j2 被爆出现史诗级利用成本极低危害极大的漏洞,黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用,据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统!软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过😭。

近些年,重大威胁漏洞频现:

  • 2014年,心脏滴血漏洞让世界上 2/3的 网站心脏滴血
  • 2017年,永恒之蓝漏洞让数百万台主机面临被勒索病毒攻击的风险
  • 2021年,Log4j2 的漏洞再一次影响了互联网上70%以上的企业系统

毫无疑问,这些重大漏洞都使得互联网企业及其应用的用户绷紧了弦。

01 对开源软件的致命打击

火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响,而 Java 应用中,对数据库的操作基本上都是通过 ORM 进行的,因此只要是涉及到数据库操作的应用,都存在被攻击的风险,危害十分重大。

经过对 Maven 官方仓库的分析,我们发现像 Java ORM 一样的基础组件中,存在被攻击风险的高达十几万个,影响几百万个组件的版本。由于篇幅原因,本文将通过不同的维度对存在风险的组件进行展示。

目前我们仍在继续对数据进行整理分析,据不完全统计,在 Github 上,共有60644个开源项目发布的321094软件包存在风险,影响众多主流开源基金会的著名项目。

在目前数据中,Star 数量 Top 10 为:

Apache 基金会下的开源项目中,受到 Log4j2 漏洞影响的 Top 10 如下:

Java 开发框架中,受到 Log4j2 的影响的 Top 10 如下:

以上数据均来源于火线安全提供的 Apache Log4j2 漏洞影响面查询系统:https://log4j2.huoxian.cn。

02 技术实现

Log4j2 通常作为 Maven/Gradle 项目的组件依赖,被引入项目中,用于打印日志。在本次排查过程中,我们分析了 Maven 官方仓库的全部数据,根据直接引用、间接引用等多种关系,对数据进行关联分析,最终梳理出全量的受 Log4j2 影响的组件数据;

然后将受影响的组件与 Github 中的开源项目进行关联分析,找到每个组件对应的开源项目及项目的信息。

03 技术支持

鉴于修复漏洞的紧迫性,火线安全将为所有企业提供免费且强大的技术支持。可通过:https://log4j2.huoxian.cn进行在线排查,获取火线安全免费的绝对防御解决方案,火线安全专家全程技术支持。

关于火线安全

火线安全是基于社区的云安全公司,主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源 IAST 产品,专注于 DevSecOps, 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-12-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 why技术 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
脆弱性检测服务
脆弱性检测服务(Vulnerability detection Service,VDS)在理解客户实际需求的情况下,制定符合企业规模的漏洞扫描方案。通过漏洞扫描器对客户指定的计算机系统、网络组件、应用程序进行全面的漏洞检测服务,由腾讯云安全专家对扫描结果进行解读,为您提供专业的漏洞修复建议和指导服务,有效地降低企业资产安全风险。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档