PTC快速响应Log4j2漏洞，护航SaaS应用安全

      刚刚过去的2021年，企业数字化转型依然如火如荼，特别是SaaS领域保持着快速增长势头。回顾SaaS产业过去一年的发展历程，不得不提及——Apache Log4j2组件被曝出高危漏洞这一备受业界关注的事件。作为最常用的Java程序日志监控组件之一，Log4j2被广泛应用于各种业务系统开发，这一漏洞几乎影响着全球所有互联网和SaaS公司。

      在发现漏洞三小时内，PTC就缓解了这一问题。PTC执行副总裁兼首席技术官Steve Dertien告诉记者，“当全球各地的系统在周五清晨（美国东部时间2021年12月10日）受到开源漏洞Log4j2严重影响时，PTC依然能够确保其SaaS客户的安全。在短短的三个小时内，我们为每个在PTC SaaS平台Atlas上运行产品的客户缓解了这一问题的严重性。”

各方快速响应

      众所周知，日志记录是应用程序的基础组件，在许多开源组件中都有应用，例如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等，利用这些开源组件开发的WEB应用，数据处理平台、高性能查询分析引擎以及分布式存储系统等，其安全性会受到该漏洞的影响。

      Log4j2组件出现漏洞，攻击者可以利用其在未授权的情况下获取目标服务器的控制权限，操作门槛极低，危害程度极大。实际上，Log4j2上出现远程代码执行的高危漏洞不是首次，早在2017年就有反序列化漏洞曝出，黑客可以在目标服务上执行任意代码。

      为了应对这一危机，Apache官方在第一时间就给出应急方案，包括及时更新对应临时补丁，以及修改响应参数和配置等举措。

      另外包括云计算、安全厂商也快速响应，给出了应对之道：譬如Amazon WAF针对Web攻击灵活提供保护，以缓解Log4j2漏洞攻击；阿里云盾WAF提供7天免费漏洞应急服务；奇安信新一代智慧防火墙通过更新IPS特征库完成对该漏洞的防护；深信服下一代防火墙AF开启IPS防护策略，通过更新最新安全防护规则预防此漏洞；360云探安全监测系统可以针对Apache Log4j2漏洞进行安全监测；新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量，并进行主动拦截等等。

PTC的补救之道

      一直以来，PTC十分笃定SaaS发展策略，不断加大SaaS投入力度，包括在整个产品组合中部署SaaS模式。2019年，PTC宣布以约4.7亿美元的价格收购SaaS CAD厂商Onshape；2021年，PTC完成对SaaS PLM解决方案Arena Solutions的收购。同时，PTC扩大了SaaS业务部门，涵盖Arena、Onshape和Vuforia增强现实等领域，并在PTC SaaS平台Atlas上提供这些产品。

      自美国东部时间2021年12月10日凌晨3:22发现Log4j 2漏洞问题，PTC工程师第一时间做出了反应，到美国东部时间凌晨5:30，补救措施已推送到PTC的SaaS平台Atlas上。

      据Steve Dertien介绍，“截止美国东部时间上午9:27，Onshape团队已经调查了他们的整个服务系统，并确认没有潜在的漏洞，客户数据也不存在风险。”值得一提的是，CVE（通用漏洞披露组织）在美国东部时间上午10:00左右发布官方声明，而PTC整个的更新完成时间比这还早。

      在完成更新之后，为了确认在完成修复之前系统是否已被成功利用，PTC开始分析所有SaaS应用系统，没有发现任何遭到利用的证据，但大量遥测数据显示攻击者利用该漏洞的兴趣正在增长。在Steve Dertien看来，SaaS领域一切都是高度自动化的，并且可以进行便捷地扩展，所以面对漏洞的响应时间很短。

      除此之外，PTC还在官方渠道公布了进一步的补救策略（PTC Response Center Log4j 2 Vulnerability）。PTC 认为，应对网络安全威胁是软件提供商、软件客户和活跃用户、合作伙伴和软件集成商、政府和监管机构等各方的共同责任。PTC 仍然致力于在这种共担责任模型中履行其作为软件提供商的角色，并强烈鼓励其他群体（包括客户和活跃用户）履行其职责。

      Steve Dertien强调，通过及时的补救，PTC用户无需付出任何努力即可更新软件，这也意味着，当发现关键的安全或软件问题时，不需要在客户现场进行手动干预。