e-works数字化企业网  »  新闻  »  记者观察  »  正文

PTC快速响应Log4j2漏洞,护航SaaS应用安全

2022年2月8日             作者:e-works王阳       
关键字:PTC  Log4j2  
作为最常用的Java程序日志监控组件之一,Log4j2被广泛应用于各种业务系统开发,其漏洞几乎影响着全球所有互联网和SaaS公司。
      刚刚过去的2021年,企业数字化转型依然如火如荼,特别是SaaS领域保持着快速增长势头。回顾SaaS产业过去一年的发展历程,不得不提及——Apache Log4j2组件被曝出高危漏洞这一备受业界关注的事件。作为最常用的Java程序日志监控组件之一,Log4j2被广泛应用于各种业务系统开发,这一漏洞几乎影响着全球所有互联网和SaaS公司。

      在发现漏洞三小时内,PTC就缓解了这一问题。PTC执行副总裁兼首席技术官Steve Dertien告诉记者,“当全球各地的系统在周五清晨(美国东部时间2021年12月10日)受到开源漏洞Log4j2严重影响时,PTC依然能够确保其SaaS客户的安全。在短短的三个小时内,我们为每个在PTC SaaS平台Atlas上运行产品的客户缓解了这一问题的严重性。”

各方快速响应

      众所周知,日志记录是应用程序的基础组件,在许多开源组件中都有应用,例如Apache Struts2、Apache Solr、Apache Druid、Apache Flink等,利用这些开源组件开发的WEB应用,数据处理平台、高性能查询分析引擎以及分布式存储系统等,其安全性会受到该漏洞的影响。

      Log4j2组件出现漏洞,攻击者可以利用其在未授权的情况下获取目标服务器的控制权限,操作门槛极低,危害程度极大。实际上,Log4j2上出现远程代码执行的高危漏洞不是首次,早在2017年就有反序列化漏洞曝出,黑客可以在目标服务上执行任意代码。

      为了应对这一危机,Apache官方在第一时间就给出应急方案,包括及时更新对应临时补丁,以及修改响应参数和配置等举措。

      另外包括云计算、安全厂商也快速响应,给出了应对之道:譬如Amazon WAF针对Web攻击灵活提供保护,以缓解Log4j2漏洞攻击;阿里云盾WAF提供7天免费漏洞应急服务;奇安信新一代智慧防火墙通过更新IPS特征库完成对该漏洞的防护;深信服下一代防火墙AF开启IPS防护策略,通过更新最新安全防护规则预防此漏洞;360云探安全监测系统可以针对Apache Log4j2漏洞进行安全监测;新华三全系安全产品可通过升级IPS特征库识别该漏洞的攻击流量,并进行主动拦截等等。

PTC的补救之道

      一直以来,PTC十分笃定SaaS发展策略,不断加大SaaS投入力度,包括在整个产品组合中部署SaaS模式。2019年,PTC宣布以约4.7亿美元的价格收购SaaS CAD厂商Onshape;2021年,PTC完成对SaaS PLM解决方案Arena Solutions的收购。同时,PTC扩大了SaaS业务部门,涵盖Arena、Onshape和Vuforia增强现实等领域,并在PTC SaaS平台Atlas上提供这些产品。

      自美国东部时间2021年12月10日凌晨3:22发现Log4j 2漏洞问题,PTC工程师第一时间做出了反应,到美国东部时间凌晨5:30,补救措施已推送到PTC的SaaS平台Atlas上。

      据Steve Dertien介绍,“截止美国东部时间上午9:27,Onshape团队已经调查了他们的整个服务系统,并确认没有潜在的漏洞,客户数据也不存在风险。”值得一提的是,CVE(通用漏洞披露组织)在美国东部时间上午10:00左右发布官方声明,而PTC整个的更新完成时间比这还早。

      在完成更新之后,为了确认在完成修复之前系统是否已被成功利用,PTC开始分析所有SaaS应用系统,没有发现任何遭到利用的证据,但大量遥测数据显示攻击者利用该漏洞的兴趣正在增长。在Steve Dertien看来,SaaS领域一切都是高度自动化的,并且可以进行便捷地扩展,所以面对漏洞的响应时间很短。

      除此之外,PTC还在官方渠道公布了进一步的补救策略(PTC Response Center Log4j 2 Vulnerability)。PTC 认为,应对网络安全威胁是软件提供商、软件客户和活跃用户、合作伙伴和软件集成商、政府和监管机构等各方的共同责任。PTC 仍然致力于在这种共担责任模型中履行其作为软件提供商的角色,并强烈鼓励其他群体(包括客户和活跃用户)履行其职责。

      Steve Dertien强调,通过及时的补救,PTC用户无需付出任何努力即可更新软件,这也意味着,当发现关键的安全或软件问题时,不需要在客户现场进行手动干预。
责任编辑:王阳
e-works
官方微信
掌上
信息化
编辑推荐
文章推荐
博客推荐
视频推荐