Log4j2出现惊天大漏洞，你会应对吗？

题图摄于美国大峡谷

12月9日，流行的日志库 Apache Log4j2 爆出了惊天大 bug，是情况十分严重的漏洞。

这个漏洞到底有多大呢？业内有个对安全漏洞评分的标准，叫做 CVSS（Common Vulnerability Scoring System，常用漏洞评分系统），分数是0-10，10是漏洞最严重，0是最轻。这个 Log4j2 的漏洞，CVSS 分数直接打满 10 分！

我在 20 年前写 Java 代码就曾用过 Log4j ，它作为Java语言最广泛使用的日志库，很多应用系统都在使用；从代码上看，这个漏洞相当低级，触发门槛极低，有点像 SQL 注入，攻击者可用设计过的特定字符串去利用漏洞，从而远程控制中招的电脑系统。

这漏洞的影响就好比在人口密集的城市中心引爆了一枚炸弹！明白了这个漏洞的广度和烈度，CVSS 给10分就不足为奇了。

通常，这类软件的安全漏洞有很严格的告警流程。一种常规的做法是：发现者先私下报告潜在的问题给开发者，开发者确认后，会发布修复版本，然后再公之于众，这样使得用户有修复漏洞的方法。我们在 Harbor 开源项目中就有类似的漏洞报告流程。

本次漏洞最早在 11 月 24 日由阿里云的团队发现，并创建了 CVE 编号（CVE-2021-44228）。

Log4j 的团队于12月6日发布了一个RC（Release Candidate）版本，尝试修复这个漏洞。RC 版本可以说是个 beta 版本，用户一般不会立刻在生产线上使用。但是有人在 RC 版本中发现了这个漏洞，因而传播开来，很多用户因此措手不及。

直到 12 月 10 日，Log4j 才推出了修复版本。黑客利用这几天的时间差疯狂进行 0日攻击。据悉，已有黑客大肆扫描网络主机，并利用此漏洞攻克网上的“肉鸡”用作虚拟货币挖矿。

我们云原生实验室团队研发的前沿项目都没有使用 Java 语言，自动免疫此次危机。但 Java 毕竟是雄踞最受欢迎编程语言榜首多年，群众基础相当好，众多企业依然在使用 Java 语言，对他们的开发和运维人员来说，这几天将是不眠之夜了。

为帮助企业用户了解并应对 Log4j2 漏洞，下面转载 雅客云安全 关于应对 Log4j2漏洞的文章，原文标题为：针对 Apache Log4j-2 漏洞的最佳检测防护方案 。

雅客云安全是我们 Harbor 开源项目的合作伙伴，提供了和 Harbor 对接的开源镜像漏洞扫描器，并在此基础上增加了一系列侦测和防范漏洞的机制，可在线修补漏洞，非常适合 K8s 这样的云原生平台使用。

下面转载开始：

1.  Apache Log4j-2 漏洞报告

漏洞编号: CVE-2021-44228

漏洞等级: 高危，该漏洞影响范围极广，危害极大

CVSS评分: 10分，最高级

描述: Log4j-2中存在 JNDI 注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。鉴于此漏洞危害较大，建议客户尽快采取措施防护此漏洞。

根据美国国家漏洞数据库 NVD 的现有报告，该漏洞影响所有Apache Log4j 2.14.1 以下版本的。

官方漏洞修补措施: 升级到Apache log4j-2.15.0 正式版

2.  雅客云的漏洞扫描及响应

| 2.1  容器漏洞扫描

应用雅客云安全的扫描程序，通过下载最新的漏洞情报库或者手动更新扫描情报库镜像两种方式进行更新。

方式一: 漏洞情报库更新

通过雅客云提供的在线情报库更新服务进行漏洞库更新

方式二: 网络受限环境的漏洞情报库更新

联系雅客云进行网络受限（非联网）环境下的漏洞情报库更新，也就是更新漏洞情报库服务镜像。

2021年12月10日的漏洞库镜像 SHA 值为: sha256:1f3bd338577a1decbbbaee53c2098a7502648d99de1489eef74ce15f3f23bd51

漏洞情报库更新之后，进行容器镜像漏洞扫描，可以直接扫描出包含该高危漏洞的容器镜像，包括镜像库内的镜像、主机节点上的镜像。

(1) 执行容器镜像扫描，查看包含漏洞的问题镜像的扫描结果。

(2) 通过容器威胁信息系统中的漏洞信息汇总快速查看关联该漏洞的容器镜像。

| 2.2 虚拟补丁（在线防护方案）

通过部署雅客云安全的 WEB应用防护墙，可以通过 虚拟补丁 的机制，进行在线的应用漏洞修补，为在线应用提供可靠的安全防护。

(1) 为存在漏洞的服务镜像注入虚拟布丁，漏洞的在线虚拟补丁入口。

(2) 部署虚拟补丁进行拦截防护。

3.  事件总结

漏洞隐藏在安全左侧，然而在应用右侧突然爆发，安全能力不能只顾单边，必须横跨全局，打通左右壁垒，实现全栈防护。

ArkSec雅客云通过软件定义安全，赤岩石平台的分布式安全防护能力的创新可以快速定位任何突发问题，并快速构建解决方案。

北京雅客云安全科技有限公司（ArkSec）是由硅谷领先网络安全公司资深技术专家、以色列领先网络安全公司高管团队成立的以基于云原生安全产品和服务为主的技术驱动型高新技术企业。公司开发了国内自主知识产权的云原生安全全生命周期防护产品，以此作为起点，创新实现了云安全能力的快速交付、编排、调度，是中国首家将预测、防御、监控和响应能力融为一体，提供云原生全栈安全防护平台并覆盖到边缘云的整体解决方案的公司（www.arksec.cn)。

要想了解云原生、机器学习和区块链等技术原理，请立即长按以下二维码，关注本公众号亨利笔记 （ henglibiji )，以免错过更新。