作为最常用的java程序日志监控组件之一,log4j2被广泛应用于各种业务系统开发,其漏洞几乎影响着全球所有互联网和saas公司。
刚刚过去的2021年,企业数字化转型依然如火如荼,特别是saas领域保持着快速增长势头。回顾saas产业过去一年的发展历程,不得不提及——apache log4j2组件被曝出高危漏洞这一备受业界关注的事件。作为最常用的java程序日志监控组件之一,log4j2被广泛应用于各种业务系统开发,这一漏洞几乎影响着全球所有互联网和saas公司。
在发现漏洞三小时内,ptc就缓解了这一问题。ptc执行副总裁兼首席技术官steve dertien告诉记者,“当全球各地的系统在周五清晨(美国东部时间2021年12月10日)受到开源漏洞log4j2严重影响时,ptc依然能够确保其saas客户的安全。在短短的三个小时内,我们为每个在ptc saas平台atlas上运行产品的客户缓解了这一问题的严重性。”
各方快速响应
众所周知,日志记录是应用程序的基础组件,在许多开源组件中都有应用,例如apache struts2、apache solr、apache druid、apache flink等,利用这些开源组件开发的web应用,数据处理平台、高性能查询分析引擎以及分布式存储系统等,其安全性会受到该漏洞的影响。
log4j2组件出现漏洞,攻击者可以利用其在未授权的情况下获取目标服务器的控制权限,操作门槛极低,危害程度极大。实际上,log4j2上出现远程代码执行的高危漏洞不是首次,早在2017年就有反序列化漏洞曝出,黑客可以在目标服务上执行任意代码。
为了应对这一危机,apache官方在第一时间就给出应急方案,包括及时更新对应临时补丁,以及修改响应参数和配置等举措。
另外包括云计算、安全厂商也快速响应,给出了应对之道:譬如amazon waf针对web攻击灵活提供保护,以缓解log4j2漏洞攻击;阿里云盾waf提供7天免费漏洞应急服务;奇安信新一代智慧防火墙通过更新ips特征库完成对该漏洞的防护;深信服下一代防火墙af开启ips防护策略,通过更新最新安全防护规则预防此漏洞;360云探安全监测系统可以针对apache log4j2漏洞进行安全监测;新华三全系安全产品可通过升级ips特征库识别该漏洞的攻击流量,并进行主动拦截等等。
ptc的补救之道
一直以来,ptc十分笃定saas发展策略,不断加大saas投入力度,包括在整个产品组合中部署saas模式。2019年,ptc宣布以约4.7亿美元的价格收购saas cad厂商onshape;2021年,ptc完成对saas plm凯发k8官网下载的解决方案arena solutions的收购。同时,ptc扩大了saas业务部门,涵盖arena、onshape和vuforia增强现实等领域,并在ptc saas平台atlas上提供这些产品。
自美国东部时间2021年12月10日凌晨3:22发现log4j 2漏洞问题,ptc工程师第一时间做出了反应,到美国东部时间凌晨5:30,补救措施已推送到ptc的saas平台atlas上。
据steve dertien介绍,“截止美国东部时间上午9:27,onshape团队已经调查了他们的整个服务系统,并确认没有潜在的漏洞,客户数据也不存在风险。”值得一提的是,cve(通用漏洞披露组织)在美国东部时间上午10:00左右发布官方声明,而ptc整个的更新完成时间比这还早。
在完成更新之后,为了确认在完成修复之前系统是否已被成功利用,ptc开始分析所有saas应用系统,没有发现任何遭到利用的证据,但大量遥测数据显示攻击者利用该漏洞的兴趣正在增长。在steve dertien看来,saas领域一切都是高度自动化的,并且可以进行便捷地扩展,所以面对漏洞的响应时间很短。
除此之外,ptc还在官方渠道公布了进一步的补救策略()。ptc 认为,应对网络安全威胁是软件提供商、软件客户和活跃用户、凯发k8官网下载的合作伙伴和软件集成商、政府和监管机构等各方的共同责任。ptc 仍然致力于在这种共担责任模型中履行其作为软件提供商的角色,并强烈鼓励其他群体(包括客户和活跃用户)履行其职责。
steve dertien强调,通过及时的补救,ptc用户无需付出任何努力即可更新软件,这也意味着,当发现关键的安全或软件问题时,不需要在客户现场进行手动干预。