時間���,這個高危漏洞引發(fā)全球網(wǎng)絡(luò)安全震蕩��! 新西蘭計(jì)算機(jī)緊急響應(yīng)中心(CERT)�、美國國家安全局�����、德國電信CERT����、中國國家互聯(lián)網(wǎng)應(yīng)急中心(CERT/CC)等多國機(jī)構(gòu)相繼發(fā)出警告。 已證實(shí)服務(wù)器易受到漏洞攻擊的公司包括蘋果��、亞馬遜、特斯拉�����、谷歌��、百度�����、騰訊�����、網(wǎng)易���、京東�����、Twitter����、 Steam等�。據(jù)統(tǒng)計(jì)�,共有6921個應(yīng)用程序都有被攻擊
時間����,這個高危漏洞引發(fā)全球網(wǎng)絡(luò)安全震蕩!
新西蘭計(jì)算機(jī)緊急響應(yīng)中心 (CERT)����、美國國家安全局、德國電信CERT�、中國國家互聯(lián)網(wǎng)應(yīng)急中心 (CERT/CC)等多國機(jī)構(gòu)相繼發(fā)出警告����。
已證實(shí)服務(wù)器易受到漏洞攻擊的公司包括蘋果、亞馬遜��、特斯拉��、谷歌�、百度、騰訊���、網(wǎng)易�、京東�、Twitter�、 Steam等���。據(jù)統(tǒng)計(jì)��,共有 6921個應(yīng)用程序都有被攻擊的風(fēng)險�����,其中《我的世界》首輪即被波及��。
其危害程度之高�,影響范圍之大���,以至于不少業(yè)內(nèi)人士將其形容為 “無處不在的零日漏洞”����。
這究竟是怎么一回事����?
Java程序員都懵了
這個漏洞最早是由阿里員工發(fā)現(xiàn)。11月24日��,阿里云安全團(tuán)隊(duì)向Apache報告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行 (RCE)漏洞���。12月9日����,更多利用細(xì)節(jié)被公開。
Apache��,是當(dāng)前全球最流行的跨平臺Web服務(wù)器之一���。
而作為當(dāng)中的開源日志組件Apache Log4j2���,被數(shù)百萬基于Java的應(yīng)用程序、網(wǎng)站和服務(wù)所使用�����。
據(jù)報道���,此次漏洞是由于Log4j2在處理程序日志記錄時存在JNDI注入缺陷。
(JNDI:Java命名和目錄接口�����,是Java的一個目錄服務(wù)應(yīng)用程序接口�����,它提供一個目錄系統(tǒng),并將服務(wù)名稱與對象關(guān)聯(lián)起來��,從而使得開發(fā)人員在開發(fā)過程中可以使用名稱來訪問對象���。)
攻擊者可利用該漏洞���,向目標(biāo)服務(wù)器發(fā)送惡意數(shù)據(jù),當(dāng)服務(wù)器在將數(shù)據(jù)寫入日志時�,觸發(fā)Log4j2組件解析缺陷,進(jìn)而在未經(jīng)授權(quán)的情況下�,實(shí)現(xiàn)遠(yuǎn)程執(zhí)行 任意代碼。
以最先受到影響的《我的世界》為例���,攻擊者只需在游戲聊天中��,發(fā)送一條帶觸發(fā)指令的消息�,就可以對收到該消息的用戶發(fā)起攻擊��。
目前已經(jīng)有網(wǎng)友證實(shí)��,更改iPhone名稱就可以觸發(fā)漏洞�����。
還有網(wǎng)友試了試百度搜索框、火狐瀏覽器里輸入帶 ${的特殊格式請求����,就能造成網(wǎng)頁劫持。
而像IT通信(互聯(lián)網(wǎng))�、工業(yè)制造、金融����、醫(yī)療衛(wèi)生、運(yùn)營商等各行各業(yè)都將受到波及�,全球互聯(lián)網(wǎng)大廠、游戲公司��、電商平臺等夜都有被影響的風(fēng)險���。
其中甚至包括美國國家安全局的逆向工程工具GHIDRA。
因此也就不奇怪���,在9號當(dāng)晚公開那天聽說不少程序員半夜起來敲代碼�。
網(wǎng)絡(luò)監(jiān)控Greynoise表示����,攻擊者正在積極尋找易受Log4Shell攻擊的服務(wù)器����,目前大約有100個不同的主機(jī)正在掃描互聯(lián)網(wǎng)���,尋找利用 Log4j 漏洞的方法����。
考慮到這個庫無處不在��、帶來的影響以及觸發(fā)難度較低�����,安全平臺LunaSec將其稱為Log4Shell漏洞�,甚至警告說,任何使用Apache Struts的人都“可能容易受到攻擊”�����。
不少網(wǎng)友對此驚嘆于這史詩級別的漏洞����,并擔(dān)心恐要持續(xù)幾個月甚至幾年���。
如何解決?
2021年12月9日�����,Apache官方發(fā)布了緊急安全更新以修復(fù)該遠(yuǎn)程代碼執(zhí)行漏洞�����。但更新后的Apache Log4j 2.15.0-rc1 版本被發(fā)現(xiàn)仍存在漏洞繞過�。
12月10日凌晨2點(diǎn),Apache再度緊急發(fā)布log4j-2.15.0-rc2版本�����。
與此同時���,國家互聯(lián)網(wǎng)應(yīng)急中心還給出了如下措施以進(jìn)行漏洞防范�����。
1)添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true;
2)在應(yīng)用classpath下添加log4j2.component.properties配置文件���,文件內(nèi)容為log4j2.formatMsgNoLookups=true����;
3)JDK使用11.0.1、8u191�����、7u201�、6u211及以上的高版本;
4)部署使用第三方防火墻產(chǎn)品進(jìn)行安全防護(hù)���。
18129931345
