漏洞|核弹级新漏洞面世厂商频繁发声或触发《漏洞管理规定》首次动作_工程师|360|破解版|360安全卫士

12月9日晚间，一个被视作“核弹级”的Apache Log4j2远程代码执行漏洞细节被公开，该漏洞无需特殊配置即可被黑客利用。经验证，受影响的包括Apache Struts2、Apache Solr、Apache Druid、Apache Flink。
国内网络安全厂商经过一个不眠夜之后，纷纷发布相关信息向用户发出警示，安全419也就此事采访了国内部分安全厂商和资深安全专家，对本次漏洞事件进行了梳理。

文章插图
01、关于漏洞腾讯安全告诉我们，Apache Log4j2是一个基于Java的日志记录工具，该工具重写了Log4j框架，并且引入了大量丰富的特性。本次被公开的Apache Log4j2中存在的JNDI注入漏洞，当程序将用户输入的数据进行日志记录时，即可触发此漏洞，成功利用此漏洞可以在目标服务器上执行任意代码。
360政企安全对此回应称，360漏洞云团队12月9日在网上监测到Apache Log4j任意代码执行漏洞正在被广泛利用，经安全专家复现研判，该漏洞利用方式简单，危害严重，建议用户及时作出补救措施。
02、严重程度对于此次漏洞影响范围，QIANXIN向我们介绍称，该漏洞几乎影响所有行业，90%以上基于java开发的应用平台都会受到影响。包括全球多家知名科技公司、电商网站等，漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。
安全419进一步了解获悉，截至12月10日中午12点，根据QIANXIN安域云防护的监测数据显示，已发现近1万次在野利用该漏洞的攻击行为。与此同时，QIANXIN补天漏洞响应平台负责人介绍，12月9日深夜，仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。
【漏洞|核弹级新漏洞面世厂商频繁发声或触发《漏洞管理规定》首次动作】腾讯安全判定漏洞等级为最高级的10级，认为该漏洞利用门槛低，影响范围极广，危害极大，建议立即升级到最新版本。
白帽社区火线安全表示，该漏洞利用成本极低危害极大，同时认为漏洞攻击面可能会逐步扩散到基础开源软件、客户端软件等更多资产面。
漏洞优先级安全厂商零零信安通过研判，更是直接给该漏洞严重程度作出“100分”评级，认为其影响极其深远。
03、修复措施Apache官方已发布补丁，受影响（版本为2.0 ≤ Apache Log4j <= 2.14.1）的用户需尽快升级到安全版本Apache log4j-2.15.0-rc2。
（注.官方12月7日曾发布rc1版本，但被验证存在被绕过风险，rc2版本为最新修复版本）
04、防范建议随着漏洞攻击被广泛监测，国内各大网络安全厂商纷纷发声，安全419总结发现：

几乎所有主流安全厂商的防火墙类产品、云WAF等防护产品，陆续已对该漏洞提供了防御支持，并进一步同步支持到基于流量监测的平台型安全产品当中；
大部分安全厂商除了升级安全产品提供防护，均以安全服务形式第一时间通知相关客户，相关资产扫描检测类产品已升级检测能力，支持对现有资产深层研判。

根据部分专家的观点，此次漏洞影响面甚广，采用专业网络安全厂商的安全产品在今后会有更及时的安全保障。
05、本质问题QIANXIN向安全419表示，建议企业首先需要做的是梳理自身所使用的软件资产，检测其中是否使用开源组件、影响哪些资产、影响程度如何，判断受影响资产应修复到哪个版本，其它关联组件是否受影响等，最后着手修复和防御后续类似攻击。
安全专家还表示，开源软件安全治理是一项任重道远的工作，需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。
06、不同声音通过对本次漏洞事件安全419还采访多位资深安全专家，他们除了给出本次漏洞相关的个人见解，我们发现还会有不同的声音，大多从国家最新实施的《网络产品安全漏洞管理规定》角度出发。