作为开发人员,我们不断地应对功能、修复和截止日期。然而,令人惊讶的是,一个潜在的问题被忽视了:在许多项目中继续使用易受攻击的 Log4j 和 Spring Framework 版本。尽管 Log4Shell 和 Spring4Shell 漏洞备受瞩目,但数量惊人的应用程序仍在这些定时炸弹上运行。这不仅仅是一个小疏忽,而是一个重大风险。我们本质上是建设者,但建设的一部分是确保我们的结构安全。
开发商的困境
作为开发人员,我们不断平衡推出新功能和维护现有项目和功能。这是一种平衡行为,需要我们的时间和充分的认知带宽。跟踪每个项目的依赖关系,同时确保它们是最新的,感觉就像一场艰苦的战斗,特别是当面临交付新功能的压力时。在这种杂耍行为中,像 Log4Shell 和 Spring4Shell 这样的关键漏洞有时可能会被漏掉,这并不是因为疏忽,而是因为我们每天管理的任务量巨大。然而,必须认识到,令人兴奋的应用程序的安全性是当今软件开发的关键方面。
Log4shell的当前状态
还记得 Log4Shell 吗? 2021 年在 Apache Log4j 中发现的令人讨厌的漏洞可能会让攻击者通过记录特殊字符串在您的服务器上运行代码?攻击者可以使用 LDAP 协议的 JNDI 查找来注入预编译的类文件并执行恶意代码。即使在较新版本的 Java 中,此漏洞也可能因反序列化攻击而导致损坏。这个严重漏洞的攻击复杂性被认为非常低,这使得威胁比平常更高。请查看我们的博客文章,了解问题的完整详情。
超过 20% 的公司仍然容易受到 Log4shell 的攻击。
如今,许多公司的项目之一中仍然存在过时且易受攻击的 Log4j 库版本。在所有扫描其生产代码是否存在漏洞的 Snyk 客户中,21% 的项目仍然容易受到 Log4Shell 的影响。这意味着超过 60k 个项目仍然面临着因 2 年前披露和修复的漏洞而遭到破坏的风险。那是巨大的!知道这些公司已经使用安全工具并正在积极缓解他们遇到的安全问题,因此存在漏洞的 log4j 版本的实际数量将远高于此。这个想法不仅令人恐惧,而且非常令人不安。
Spring4Shell 在野外
另一个臭名昭著的例子是 Spring4Shell,它于 2022 年 3 月被披露。spring-beans 中的漏洞也可能导致恶意远程代码执行。虽然攻击复杂度较低,并且有针对特定案例的利用,但影响不如Log4Shell那么大。查看专门的博客文章了解更多详细信息。
通过在 2022 年 4 月利用新的漏洞利用将此漏洞扩展到 Glassfish,Snyk 团队证明了此漏洞非常重要,除了首次利用 tomcat 之外,还可能在更多情况下被滥用。
与Log4Shell类似,我们发现Spring4Shell在野外仍然适用。大约 35% 的客户在其项目之一中仍然存在该漏洞。尽管 Spring4Shell 漏洞的风险不如 Log4Shell 那么严重,但 Snyk 团队通过识别和开发 Glassfish 的漏洞利用概念验证 (POC) 展示了一系列潜在的漏洞利用。这证明看似较小的危险仍然可能导致重大的安全漏洞。尚未发布漏洞利用程序的事实并不意味着应用程序不会被漏洞破坏!
此外,它表明许多 Spring 应用程序依赖于旧的、过时的框架版本,并且更新和服务现有应用程序被认为不重要。然而,内心深处,我们知道这是一颗定时炸弹,随时可能爆炸。
给所有维护应用程序的人敲响警钟
让我们保持简单明了。我们都知道,当我们的代码最终顺利运行时,我们会感到自豪,而我们最不想做的事情就是返回并搞乱它,尤其是对于像更新库这样愚蠢的事情。但事情是这样的:这些 Log4Shell 和 Spring4Shell 漏洞不会自行修复。老实说,它们不仅仅是我们可以忽略的小错误。它们是我们应用程序墙上的漏洞。如果您的环境中仍然存在 Log4Shell 或 Spring4Shell 等漏洞,那么您就不必要地容易受到高严重性攻击!
Snyk 可以通过检测和帮助解决应用程序中的安全漏洞来帮助您解决此问题。它以多种方式与开发工作流程集成,例如通过 Git 存储库、命令行界面 (CLI) 或现有的持续集成 (CI) 管道,使开发人员能够在开发周期的早期识别安全风险,避免它们变成更大的问题。注册是免费的,可以立即使用其功能。然而,真正的价值在于发现的漏洞在识别后如何管理和解决。
我们必须在这里承担责任。这不仅仅是找到一个快速补丁或希望一个简单的更新就能解决问题。有时,我们需要进行硬调用来删除或替换易受攻击的库。是的,这可能会让我们放慢一点,这不是我们工作中最令人兴奋的部分,但它至关重要。这是为了确保我们的代码是可靠的,不仅是为了今天,而且是为了长远。
所以,我们不要等待其他人来解决这些问题。借助适当的工具,我们可以及早发现这些漏洞,但我们必须采取行动。我们有责任加强防御、修补这些漏洞并确保我们的应用程序安全无虞。让我们开始吧,不仅仅是作为程序员,而是作为那些支持他们工作的人,确保它尽可能安全。
