vlambda博客
学习文章列表

本文5549字，阅读时长约12分钟

2021年12月09日，阿里云发布了《Apache Log4j2 远程代码执行漏洞（CVE-2021-44228/CVE-2021-45046）》的“漏洞通告”，指出Apache Log4j2是一款优秀的Java日志框架。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接构造恶意请求，触发远程代码执行漏洞。漏洞利用无需特殊配置，经阿里云安全团队验证，Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。^[1]

该通告虽然把该漏洞定为高危，但是当时大家都以为只是一次例行的高危漏洞预警而已，并没有引起重视。然而，该事件很快就形成了2021年最大的“漏洞风暴”。

2021年12月10日 01：37分，知柯安全应急响应中心全网曝光了该漏洞，初步的判断是：危及范围不亚于struts2^[2]。当天08:03分，网上出现了“核弹级漏洞”的说法，并曝出在2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞^[3]。阿里云在12月13日的漏洞报告里也证实了这一点^[4]。

2021年12月10日，奇安信发布该漏洞的新闻，开始出现了““核弹级”漏洞”、“危害堪比“永恒之蓝””、“或影响70%以上企业”等字眼。文中指出：该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90%以上基于java开发的应用平台都会受到影响^[5]。

并指出：在实际生产环境，虽然很多系统并未使用Java，但后台的服务中大量使用了ElasticSearch、Kafka、Estorm、Logstash等Java实现的开源组件，也会通过前台的输入产生实际影响。因此，实际影响面远超想象^[5]。

2021年12月13日，360把该漏洞描述为“史诗级”，并初步进行了统计，认为:有数百万互联网用户的电脑存在被攻击的风险,破坏力或将堪比2017“永恒之蓝”病毒^[6]。

接下来，事件发展出现了戏剧性的结果。

2021年12月17日，工信部公开发声，发布了《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》的“工作动态”。在该文中称：阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。^[7]

并指出：12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。^[7]

该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。^[7]

该文中有五个关键信息：一是指出阿里将该漏洞情况告知阿帕奇软件基金会；二是提到了工信部的“网络安全威胁和漏洞信息共享平台”；三是该平台收到有关网络安全专业机构报告；四是召集阿里云、安全企业、专业机构等三方进行研判。五是对漏洞的危害效果进行了定性：远程受控、信息泄露和设备中断。

2021年12月22日，新浪财经援引21世纪经济报道消息称：近期，工业和信息化部网络安全管理局通报称，阿里云计算有限公司（简称“阿里云”）是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。^[8]

虽然该通告并没有在工信部官网和21世纪经济网上找到，但是2021年12月27日，21世纪经济报道的“南财合规周报（第25期）”里，再次提及了此事^[9]。

2022年1月21日，深信服对该漏洞进行了回顾，认为是“2021年最重要的安全威胁之一”。以CVE-2021-44228漏洞为起始点，Apache Log4j总计爆发8个漏洞，其中包括5个远程代码执行漏洞、1个SQL注入漏洞、2个拒绝服务漏洞，高危以上漏洞占据了7个。[11]‍

并总结了该漏洞本身的一个事件演进时间线，认为该漏洞的在野利用的时间点是2021年12月7日。^[11]

02

与“Log4j2漏洞”事件联系最紧密的就是那个全球唯一的“CVE漏洞编号”：CVE-2021-44228,只有这个漏洞编号才能表明你描述的那个漏洞就是我想知道的那个漏洞。

提起CVE，就不得不提NVD。而该事件里，又出现了“网络安全威胁和漏洞信息共享平台（NVDB）”，再加上之前大家耳熟能详的CNVD、CNNVD，这里咱们就聊聊CVE和这四大漏洞库，以及它们之间的关系。

CVE无疑是世界上公认的、名气最大的漏洞标识体系，每个搞攻防研究的安全研究员都希望自己的名字能和某个CVE编号联系在一起，这代表着一种能力的认可，更是一种江湖地位的体现。

而对公司而言，这是一种有巨大价值的炒作资源，因此传统的做法是：当发现漏洞时，以个人名义提交、以团队名义获得致谢，最后以公司的名义用致谢数量来作为市场宣传的手段。

比如2022年1月14日，网易的360企业安全号上就有这样一则新闻: 360获谷歌、微软、Adobe“开年首发”致谢，16年挖掘超3000个高质量CVEs^[12]。

CVE的全称是：通用的漏洞披露（Common Vulnerabilities& Exposures），根据CVE网站自己的介绍，CVE组织的使命是标识、定义和分类公开的网络空间漏洞^[14]。

关键是CVE的后台太厉害了，CVE其实是MITRE公司（https://www.mitre.org/）注册的一个漏洞标识品牌，而MITRE公司就是那个大名鼎鼎的、描述网络空间攻击的“ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge )框架”的拥有者。

除了MITRE公司之外，两个资助者也非常厉害，一个是美国国土安全部（U.S. Department of Homeland Security，DHS），一个是网络安全和基础设施安全局（Cybersecurityand Infrastructure Security Agency，CISA）^[14]。

提起CVE，就不得不提NVD。NVD是“美国国家漏洞库(U.S.National Vulnerability Database)”的简称，是美国国家标准与技术学会（NationalInstitute of Standards and Technology，NIST）于2005年建立的，而CVE是1999年由MITRE公司建立的。

那么CVE跟NVD是什么关系呢？

虽然CVE跟NVD是两个独立的组织，但是一方面，NVD使用CVE作为漏洞标识的标准，每一次CVE的更新都会跟NVD进行同步。另一方面，NVD在CVE的基础上提供了修复信息、严重性评分和影响评级等指标，并且还可以通过操作系统、供应商名称、产品名称或版本号对漏洞进行检索，而且还可以查看漏洞类型、严重性、相关的利用范围和影响。^[15]

谈完了CVE跟NVD，接下来谈谈国内的漏洞库。

NVDB是工信部下属的“网络安全威胁和漏洞信息共享平台（National VulnerabilityDatabase, NVDB）”,直译过来就是“国家漏洞数据库”，该漏洞库于2021年9月1日正式上线运营。由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库四大部分。^[16]

当然，NVDB是基于《中华人民共和国网络安全法》和《网络产品安全漏洞管理规定》等政策文件建立的。《网络产品安全漏洞管理规定》是工信部国家互联网信息办公室和公安部联合发布的、自2021年9月1日起施行的一部面向漏洞的安全法规。^[17]

CNVD是国家信息安全漏洞共享平台（China NationalVulnerability Database）的简称，是由国家计算机网络应急技术处理协调中心（中文简称国家互联网应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的国家网络安全漏洞库。^[18]

CNCERT全称是“国家计算机网络应急技术处理协调中心（英文简称CNCERT/CC）”，成立于2001年8月，是非政府非盈利的网络安全技术中心，是中国计算机网络应急处理体系中的牵头单位。^[19]

CERT/CC是“计算机应急响应小组（Computer Emergency Response Team）的简称，是1988年11月，由美国国防部（DoD）在卡内基梅隆（Carnegie Mellon）大学的软件工程研究所成立的，目前全球已经拥有100多个应急响应安全组织^[20]。

CNNVD是国家信息安全漏洞库（China NationalVulnerability Database of Information Security）的简称，于2009年10月18日正式成立，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库。^[21]

而中国信息安全测评中心是由国务院产品质量监督行政主管部门授权下的，国家信息安全测评认证管理委员会发起的，代表国家具体实施信息安全测评认证的实体机构。^[22]

从上面介绍中可以看出，NVD、NVDB、CNVD、CNNVD都是国家级的漏洞库，而且都支持CVE编号的检索和查询。而在NVDB、CNVD、CNNVD当中，CNVD、CNNVD在过去的运作模式中，属于自愿提交模式，就是厂商可以选择性地提交漏洞，只是会有一些奖励机制。NVDB是成立时间最短的国家级漏洞库，相应管理力度会更大、管理体系会更完善。

03

三个问题

看了前面的内容，我们首先会有第一个问题：高危漏洞每年有很多，为什么这个漏洞是“核弹级”、“史诗级”并且是“堪比永恒之蓝”的?

 

阿里云称Apache Log4j2是一款优秀的Java日志框架^[1],而开源社区阿帕奇（Apache）的定义是:一款优秀的、面向JAVA应用程序的“日志或跟踪API”开发包^[23]。这种“日志记录”的方式能够比“程序调试器”更好地暴露“应用程序错误”,提高开发效率。

 

当今所有的JAVA应用程序都会有日志系统，因此Log4j2就成了事实的“日志开发框架”。框架（framework）是软件开发中的一个专业术语，它虽然不是某个组件、不是某个应用，却是一类应用和组件的公共底座，就像一个楼群的地基一样，一旦地基出现问题，整个楼群都会受到影响。

 

咱们把上面提到的受影响的组件，加上中文解释，你就能看到：

 

根据阿里云的报告，受漏洞影响的系统有：Apache Struts2（Web应用程序框架）、Apache Solr（搜索服务器）、ApacheDruid（高性能实时分析型数据库）、Apache Flink（流数据流引擎）等。

 

根据奇安信的报告，在实际生产环境，虽然很多系统并未使用Java，但后台的服务中大量使用了ElasticSearch（分布式搜索与分析引擎）、Kafka（分布式流式计算平台）、Estorm（实时流处理平台）、Logstash（日志分析）等Java实现的开源组件，也会通过前台的输入产生实际影响。

 

通过上面的中文解释可以很容易看到，该漏洞将直接影响云计算平台和大数据平台上的JAVA应用，而云计算和大数据几乎是整个数字经济的底座了，而且该漏洞的利用又非常简单，因此想象空间巨大。

 

接着我们就会自然产生第二个问题：为什么工信部网络安全管理局要暂停阿里云合作单位的资格？

 

首先，我们在Apache Log4j^TM2的安全页面,针对“CVE-2021-44228”漏洞的“Fixed in Log4j 2.15.0(Java 8)”议题里，可以看到阿里云团队的贡献描述^[24]。

 

在CVE网站里关于“CVE-2021-44228”漏洞的提交日期描述，可以看到发布日期是2021年11月26日^[25]。

 

而在CNNVD的关于该漏洞的描述页里，可以看到CNNVD的漏洞编号是“CNNVD-202112-799”，发布日期是2021年12月10日^[26],比CVE晚了半个月时间。

 

而2021年9月1日正式施行的《网络产品安全漏洞管理规定》里面的第七条，有这样的相关描述:

 

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务，确保其产品安全漏洞得到及时修补和合理发布，并指导支持产品用户采取防范措施：（一）发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织对安全漏洞进行验证，评估安全漏洞的危害程度和影响范围；对属于其上游产品或者组件存在的安全漏洞，应当立即通知相关产品提供者。（二）应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。^[17]

 

接着我们就会自然产生第三个问题：那么，正确的上报流程到底是什么？

 

其实在《网络产品安全漏洞管理规定》施行之前，国内安全厂商的漏洞上报路径通常有三种：安全厂商>CVE；安全厂商>CVE>CNVD;安全厂商>CVE>CNNVD。

 

也就是说，鉴于CVE的国际影响力，大家会把CVE当成是第一上报对象,甚至有时候会忽略CNVD和CNNVD。

 

而《网络产品安全漏洞管理规定》里面的第九条第（七）款规定，从事网络产品安全漏洞发现、收集的组织或者个人，不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供^[17]。

 

那么接下来，正确的漏洞上报路径应该是这样的：安全厂商>NVDB; 安全厂商>NVDB>CNVD>CNNVD;安全厂商>NVDB>CNVD>CNNVD>CVE。NVDB将是第一上报对象。

 

04

一个启示

从里可以看到，从1994年的《计算机信息系统安全保护条例(国务院147号令)》，到2017年6月1日实施的《网络安全法》，再到2021年9月1日实施的《关键信息基础设施安全保护条例》和《网络产品安全漏洞管理规定》，安全已经处在了一个新合规框架下。

 

在新合规框架下，安全会出现五大演化趋势：安全地位从“民间安全”上升到“国家安全”，安全开始从生意到使命；安全内容从“信息安全”到“网络安全与网络空间安全”，安全开始从合规到合法；安全体系从割裂、静态、封闭、绝对到整体、动态、开放、相对，安全开始从自发到自觉；安全重点从“杀毒防黑”到“资配漏补”，安全开始从被动到主动。安全法规从“责任主体”到“保护对象”，安全开始从过程到效果。

 

因此，在新合规框架下，当安全开始拥有“国家”属性时，必然会产生地缘属性，整个威胁对抗模式就会从“战术对抗”转向“战略对抗”。即开始从专注于“威胁对抗技术”的战术研究，转向对“威胁对抗资源”的战略控制。漏洞、资产将是“战略对抗模式”下最核心的对抗资源。

 

而这一切，将改变大家对漏洞的原生理解和天然重视程度，甚至会改变安全行业既有的游戏规则，建立新的安全文化体系。

如果你对本文有任何建议,

欢迎联系我改进；

如果本文对你有任何帮助，

欢迎分享、点赞和在看

如果心生欢喜，不如做个长期朋友：）

锐安全

您身边的安全大脑与精神家园

79篇原创内容

Official Account

参考资料：

【1】  阿里云.【漏洞通告】Apache Log4j2 远程代码执行漏洞（CVE-2021-44228/CVE-2021-45046）,2021-12-09.https://help.aliyun.com/noticelist/articleid/1060971232.html?spm=a2c4g.11186623.0.0.639320d89bd5Eu

【2】  知柯安全应急响应中心.Apache Log4j任意代码执行漏洞正在被恶意使用,2021-12-1001:37.https://new.qq.com/rain/a/20211210A00E6I00

【3】  HACK学习.【核弹级漏洞】ApacheLog4j 远程代码执行漏洞以及修复建议,2021-12-108:03.https://new.qq.com/rain/a/20211210a01jxn00

【4】  阿里云.【漏洞预警】-CVE-2021-44228-Apache Log4j2远程代码执行漏洞,2021-12-13.https://help.aliyun.com/document_detail/368394.html

【5】  奇安信集团.“核弹级”漏洞被曝！危害堪比“永恒之蓝” 或影响70%以上企业,2021-12-1020:07.https://mp.weixin.qq.com/s/ISFC8uoxo30ETWXlyMv_TA

【6】  360安全卫士.360：率先在终端拦截“史诗级”漏洞Apache Log4j 2 ！,2021-12-1309:21.https://mp.weixin.qq.com/s/DY1Hgm5qfm6w186HjzVh2Q

【7】  工信部网络安全管理局.关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,2021-12-17.https://www.miit.gov.cn/jgsj/waj/gzdt/art/2021/art_d0cd32999d9941209ba9358a2e62638c.html

【8】  新浪财经.阿里云被暂停工信部网络安全威胁信息共享平台合作单位,2021-12-2210:38.https://baijiahao.baidu.com/s?id=1719812706673147211&wfr=spider&for=pc

【9】  21世纪经济报道.南财合规周报（第25期）：阿里云未及时报告漏洞被工信部暂停合作；薇娅偷逃税被罚13.41亿,2021年12月27日16:26.http://www.21jingji.com/article/20211227/herald/1dc3c785c2ff6ca604f07ddcf07ec2a7.html

【10】阿里云.关于开源社区Apache log4j2漏洞情况的说明,2021-12-23 17:08.https://mp.weixin.qq.com/s/dWublxXRE2NHae7SRXUuiA

【11】深信服科技.再曝3个高危漏洞！ApacheLog4j 漏洞1个月回顾：警惕关键信息基础设施安全，2022-01-21.https://mp.weixin.qq.com/s/g8ZYjl9H9caKneCxxzYbYA

【12】360企业安全.360获谷歌、微软、Adobe“开年首发”致谢，16年挖掘超3000个高质量CVEs,2022-01-1419:20:27.https://www.163.com/dy/article/GTMPET070538B1YX.html

【13】360.协助微软发现并修复漏洞,360获得微软官方致谢86次,2022-01-02.http://www.360.cn/tks.html

【14】CVE.Overview:About the CVEProgram,2022-02-02.https://www.cve.org/About/Overview

【15】CVE.What is the relationship between CVE and the NVD (U.S. NationalVulnerability Database)?,2022-02-02.https://www.cve.org/ResourcesSupport/FAQs#pc_introcve_nvd_relationship

【16】工信部网络安全管理局.工业和信息化部网络安全威胁和漏洞信息共享平台正式上线运行,2021-09-0111:21.https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2021/art_930f57bc7b584d188f07303d4c48b730.html

【17】工业和信息化部国家互联网信息办公室 公安部.工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知(工信部联网安〔2021〕66号),2021-07-13.https://www.miit.gov.cn/jgsj/waj/wjfb/art/2021/art_96c2d3de7a6f400ea1d8522b7893db7a.html

【18】CNVD.CNVD简介,2020-02-02.https://www.cnvd.org.cn/webinfo/list?type=7

【19】CNCERT/CC.CNCERT简介,2020-02-02.https://www.cert.org.cn/publish/main/34/index.html

【20】百度百科.计算机安全应急响应组,2020-02-02.https://baike.baidu.com/item/%E8%AE%A1%E7%AE%97%E6%9C%BA%E5%AE%89%E5%85%A8%E5%BA%94%E6%80%A5%E5%93%8D%E5%BA%94%E7%BB%84?fromtitle=CERT&fromid=8678612

【21】CNNVD.CNNVD介绍,2020-02-02.http://www.cnnvd.org.cn/web/xxk/gyCnnvdJs.tag

【22】中国信息安全测评中心,2017-08-0209:12.http://www.itsec.gov.cn/zxjs/txjj/201708/t20170802_15318.html

【23】APACHE.Welcome to Log4j2!,2022-02-01.https://logging.apache.org/log4j/2.x/manual/index.html

【24】Apache. Apache Log4j SecurityVulnerabilities,2022-02-02.https://logging.apache.org/log4j/2.x/security.html

【25】CVE.CVE-2021-44228,2021-11-26.https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228

【26】CNNVD.Apache Log4j 代码问题漏洞，2021-12-10.http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202112-799

【27】史中.浅黑科技周鸿祎提枪策马，带着他的360政企安全集团冲向巨人，2021-08-27.https://mp.weixin.qq.com/s/P819h7Gleki45Hu06EMTQQ