火线安全：Log4j2 史诗级漏洞波及全球6万+开源软件

Apache Log4j2 是一个基于 Java 的日志记录工具。该日志框架被大量用于业务系统开发，用来记录日志信息。

近日，Log4j2 被爆出现史诗级利用成本极低危害极大的漏洞，黑客可通过发送一条指令即可控制目标设备。Log4j2 作为基础日志组件被大量基础服务在底层使用，据统计，该漏洞影响6万+流行开源软件，影响70%以上的企业线上业务系统！软件在官方发布漏洞修复补丁后依旧被黑客多次绕过，几乎所有的互联网大厂都在通宵加急处理漏洞，避免造成黑客攻击事件，没想到道高一尺魔高一丈，刚修复完又马上被黑客绕过😭。

近些年，重大威胁漏洞频现：

• 2014年，心脏滴血漏洞让世界上 2/3的 网站心脏滴血
• 2017年，永恒之蓝漏洞让数百万台主机面临被勒索病毒攻击的风险
• 2021年，Log4j2 的漏洞再一次影响了互联网上70%以上的企业系统

毫无疑问，这些重大漏洞都使得互联网企业及其应用的用户绷紧了弦。

01 对开源软件的致命打击

火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后，对该漏洞的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响，而 Java 应用中，对数据库的操作基本上都是通过 ORM 进行的，因此只要是涉及到数据库操作的应用，都存在被攻击的风险，危害十分重大。

经过对 Maven 官方仓库的分析，我们发现像 Java ORM 一样的基础组件中，存在被攻击风险的高达十几万个，影响几百万个组件的版本。由于篇幅原因，本文将通过不同的维度对存在风险的组件进行展示。

目前我们仍在继续对数据进行整理分析，据不完全统计，在 Github 上，共有60644个开源项目发布的321094软件包存在风险，影响众多主流开源基金会的著名项目。

在目前数据中，Star 数量 Top 10 为：

​
Apache 基金会下的开源项目中，受到 Log4j2 漏洞影响的 Top 10 如下：

​
Java 开发框架中，受到 Log4j2 的影响的 Top 10 如下：

​
以上数据均来源于火线安全提供的 Apache Log4j2 漏洞影响面查询系统：https://log4j2.huoxian.cn。

02 技术实现

Log4j2 通常作为 Maven/Gradle 项目的组件依赖，被引入项目中，用于打印日志。在本次排查过程中，我们分析了 Maven 官方仓库的全部数据，根据直接引用、间接引用等多种关系，对数据进行关联分析，最终梳理出全量的受 Log4j2 影响的组件数据；

然后将受影响的组件与 Github 中的开源项目进行关联分析，找到每个组件对应的开源项目及项目的信息。

03 技术支持

鉴于修复漏洞的紧迫性，火线安全将为所有企业提供免费且强大的技术支持。可通过：https://log4j2.huoxian.cn进行在线排查或添加火线小助手的微信，获取火线安全免费的绝对防御解决方案，火线安全专家全程技术支持。

关于火线安全

火线安全是基于社区的云安全公司，主要运营洞态 IAST 和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家，助力企业解决应用生命全周期的安全风险。“洞态”是全球首个开源 IAST 产品，专注于 DevSecOps， 帮助企业发现并解决应用上线前的安全风险。“火线安全平台”是全球首个社区原生的安全众测平台，注册有近万名白帽安全专家，为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资，代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

火线安全平台官网：huoxian.cn

洞态官网：dongtai.io