Log4Shell 漏洞的现状与挑战

关键要点

• Log4Shell 漏洞依然存在，且不容忽视。
• 许多组织对漏洞的检测和修复不到位。
• 组织面临时间、资源和技术上的挑战，导致无法及时升级。
• 定期扫描和监控至关重要，以防止数据潜在被盗。

在今天的数位环境中，像 Log4Shell 这样的重要漏洞让人想起 COVID-19 的传播。COVID-19是否已经结束？当然没有。那么，现在人们还在讨论它吗？不多。它会不会永远消失？不太可能。同样的情况也可以应用于 。

半年后的 Log4j/Log4Shell 漏洞

2022 年 7 月 11 日，距离 2021 年 12 月的事件将近半年，网络安全审查委员会 (CSRB) 发布了一份关于 Log4j/Log4Shell漏洞的 。报告第 18 页提出了未来的以下建议：

CSRB 明确指出，Log4j/Log4Shell 漏洞不会在短期内消失，组织应对回退情况保持警惕。

Log4j 安全漏洞为何仍然存在？

你可能会问：如果 Log4j 安全漏洞不再是零日漏洞，而且组织也已经有半年的时间来解决这个问题，为什么它仍然重要？事实上，Log4Shell 与 COVID-19 之间的一个共同点就是持续的关注。除此之外，情况却完全不同。该漏洞不会自我扩散，理论上修复起来相对简单——只需升级一个软件！

Log4Shell 不是第一个持续存在的威胁。事实上，直到今天，仍有相当多的网站伺服器使用 TLS 1.0 和易受 (2011 年首次发现，2020 年仍有 易受攻击)。同样，使用 SSL 3.0 的伺服器也仍然面临 的风险(初次发现于 2014 年，2020 年 仍然脆弱)。甚至连 也持续影响著网站伺服器(该漏洞于 2014 年发现，但 受到影响)。

以下是造成这些情况存在的原因，也是我们预期 Log4j 漏洞状态不会改善的原因：

原因 1：问题多，时间少

大多数组织在发布软件之前都会面临修复所有漏洞的艰巨挑战，因此他们往往会接受某些漏洞会渗透进来的事实。专注于修复漏洞而不是开发新特性似乎得不偿失，这是一种计算后的风险。

原因 2：使用不当的软件

在解决 Log4Shell 问题之前，必须首先知道自己存在问题。有些组织在软件投资上