漏洞背景
Log4j是一個開源的 Java-based logging 框架，可被用於管理和收集系統的活動。因其使用成本低：上手容易且免費使用，因此廣受到Java開發者的喜愛，也因此可以在數以千計的軟體套件中發現 Log4j 框架的蹤跡。然而在去年的十一月底，一名在中國阿里巴巴工作的工程師主動向 Apache Software Foundation （ASF） 回報了針對 Log4j 發現的弱點，在經過一系列的修改和討論後，最後以弱點 CVE-2021-44228 在去年的 12月起在世界資安領域掀起軒然大波，並引發了號稱「世界資安史上最劇烈的反應」。（原文：" most intensive cybersecurity community responses in history. "）
此弱點的主要來源是 Apache 在 2013 年時接受了開源社群的 JNDI （Java Naming and Directory Interface） 建議，更改 Log4j 的命名和目錄介面，使攻擊者可以更改網頁活動記錄 （log message） 的參數，並透過 LDAP（Lightweight Directory Access Protocol） 存取受害者的資料。此弱點一直到 2021年11月24日才被通報。自此，Log4j 的漏洞便成為攻擊者和防禦者間互相抗衡較量的擂台。在經過政府單位、自發性開源群體和 ASF 半年間不間斷的測試、修改與協調後，目前美國網路安全審查委員會 （Cyber Safety Review Board, CSRB） 近期並沒有再偵測到任何與 Log4j 有關的攻擊活動。

 

漏洞現況
然而，美國網路安全審查委員會聲明：近期沒有再偵測到任何與 Log4j 有關的關鍵攻擊活動，並不表示危機已經解除。反之，因為過去對於 Log4j 的研究和了解僅奠基於對於攻擊手法的研究，對於攻擊的來源並無了解；再者，許多 Log4j 框架的使用除了在企業或是組織系統本身，可能包含在許多軟體的周邊程式內， 因此 Log4j 對於資安的影響就如同流感病毒一樣，隨時都還有可能再次複發。

對此，CSRB 也呼籲各大企業與國家組織在面對資安危機的四個方向：

(1) 隨時關注 Log4j 危機的最新動向

(2) 了解並維持企業內部的資安狀態

(3) 建立一個安全的資安系統

(4) 投資更多資源在公司的資安發展上

 

參考資料

• Review of the December 2021 Log4j Event (11 Jul 2022) - https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

• DHS Releases Report into Log4j Vulnerabilities and Response, infosecurity (15 Jul 2022): https://www.infosecurity-magazine.com/news/dhs-report-log4j-vlnerabilities/

• 資安重大事件—Apache Log4j 零時差漏洞 (16 Dec 2021)：https://key-wisdom.com/security_forum_content.php?id=289

• Log4Shell 被利用於 VMware Horizon 植入後門和挖礦程式 (31 Mar 2022) ：https://key-wisdom.com/security_forum_content.php?id=318