阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?
51CTO社区编辑加盟指南,欢迎关注!
12月22日上午,一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月的消息,在网上疯传。
据工业和信息化部网络安全管理局通报称,阿里云因在发现阿帕奇Log4j2组件重大安全漏洞后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份,为期6个月。
网络安全管理局表示,暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。
自12月9日夜间Log4j 2漏洞发现以来,受到业内外的极大关注,一位网友表示,“以前不关注网络安全领域都对这一漏洞有所了解。”
一位安全专家表示:“从Log4j2漏洞披露以来,基本上震动全民,不管是安全从业者,还是安全爱好者抑或是做黑产、做勒索的黑客,基本上彻夜不眠,行动不断。"
众所周知,Apache Log4j是被全球广泛应用的组件,其漏洞影响范围波及全球堪比“永恒之蓝”漏洞,利用复杂度低,一旦利用成功,可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,造成的危害和损失不可预估。
据相关媒体报道称,比利时国防部网络最近受到不明攻击者的成功攻击,攻击者利用Apache日志库log4j的巨大漏洞实施攻击。
不仅是政府,还有企业也是攻击的对象,只要使用JAVA开发的基本上都会受到影响。同时个人用户受到攻击的案例也已经出现。《我的世界》JAVA版游戏前几天被监测出大量黑客利用Apache Log4j 2漏洞攻击个人用户。
Log4j 2影响的后果逐渐显现。
1.阿里云被“以身试法”了吗?
一位业内人士表示:“按照业内漏洞披露的周期,整个流程应该是,先报给厂商,厂商根据漏洞影响度,在相应的时间提供一个解决方案,然后10天、 45 天或者 90 天,然后厂家提供了解决方案以后,才会出一个漏洞通告。”
这次Log4j 2漏洞的特殊就在于它本身是一个开源的软件。没有给修复时间就被疯狂转发,因为开源软件修复代码是公开的,而修复代码里面一部分就是测试代码,而测试代码就是用来检查修复是否正确,整个过程相当于是公开的,基本上就等于公开了漏洞原理和攻击方式。
自阿里云12月9日将漏洞报告给Apache,Log4j 2漏洞也开始逐渐发酵。
而自2021年9月1日正式施行的《网络产品安全漏洞管理规定》:不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
同时该规定明确相关企业要接受至少4家的管理检查,分别是 国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门;同时企业应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。
《网络产品安全漏洞管理规定》第三条规定 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。
据了解,12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
2.Log4j 2漏洞,三步攻陷任何设备
Log4j 2是近十年来可以排到top3的漏洞,影响面极广,包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。
目前来看一些勒索病毒、挖矿等都已经开始有所动作了,其中PoC攻击方式也已经在互联网出现,虽然一些安全厂商也已经及时响应,做出一些监测方案和修复方案,但是绝大部分网站还是会受到影响,只是目前评估起来比较困难。
对于企业来说即便受到攻击,也只能打碎牙往肚子里咽。没有受到攻击的企业或更新版本或找安全厂商找补漏洞。
据雷峰网(公众号:雷峰网)了解,此次log4j 2的攻击门槛非常低,不需要任何特殊配置,只要默认配置就可以,因为攻击代码可以嵌入开发人员最常用的函数中,直接控制目标服务器。
log4j 是一个日志组件,用来记录日志的。一般来说,一个网站或者一个桌面软件的日志组件是在整个软件组件结构中的。而 log4j 恰恰是 Java 中,同时slf4j也是Java 中的,以往这两个日志组件的漏洞加起来都没有超过两位数,而且攻击也得满足很多配置,不容易成功。
那么我们来还原一下利用log4j漏洞整个实现的过程,为什么很容易实现。
- 第一步:攻击者通过扫描器或者其他批量脚本等手段,发送大量请求,确定了攻击入口。
- 第二步:发一段JNDI 代码,引导受害者向恶意服务器发送请求,接着恶意服务器会返回一堆代码。
- 第三步:再发送攻击代码,让受害者请求恶意服务器请求,这中间发的东西不一样,第二次恶意服务器返回给受害者的代码,就能实现管理者控制受害者的目的。
事实上,只要你在网站上的一切操作,日志就像一个监视器一样,记录你的一切操作。不管是键盘输入、鼠标点击亦或是网站代码的变化,电脑上的软件以及网站都会被记录在数据库中,一旦攻击者给你发送消息,那么你的所有数据都将泄露。
一些厂家表示,只要切断其中一条链路就可以防止攻击,也可以通过升级新版本来避免漏洞,但是部分企业反映如果升级会对业务造成影响,甚至崩溃,只能使用网络安全厂家的解决方案。
2021年的最后一个月可谓是网络安全圈的惊心动魄。而此次Log4j2漏洞非常值得思考,要知道漏洞挖掘的难度、技术含量跟漏洞利用、漏洞影响并非一个概念。
本文转自雷锋网,如需转载请至雷锋网官网申请授权。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
《数据安全复合治理与实践白皮书》正式发布,构建“复合治理”安全观【附全文下载】
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 2021年12月22日,由中国软件评测中心、国家信息中心《信息安全研究》、蚂蚁集团联合编写的《数据安全复合治理与实践白皮书》正式发布。 白皮书在对现阶段全球数据安全产业发展格局及治理态势进行充分调研与深度剖析的基础上,从引导企业建设与升级数据安全治理体系的视角出发,以“战略要位、实战牵引、全员参与、技术破局”为核心指导思想,强调数据安全的“复合”治理,即:对治理框架搭建中战略、管理和技术进行统筹规划与设计,形成基线设定、心智运营、原生设计、安全度量、可证溯源、红蓝对抗、测评认证等丰富的治理环节,强化治理过程的联动,将安全与业务复合、管理与技术复合,形成有机整体,充分发挥复合协同效能,构建体系化、准确量化、持续优化的数据安全复合治理模式。 此次蚂蚁集团与国家权威单位联合,结合自身丰富的业务应用场景与实践经验,深度参与白皮书的调研与编写工作。面对我国数据安全法制元年的政策背景,针对数据安全产业规模快速激增,应对敏感数据泄露、数据非法贩卖、数据滥用等安全风险,总结性提出“数据安...
- 下一篇
Microsoft Teams 允许网络钓鱼漏洞,自3月至今未被修复
51CTO社区编辑加盟指南,欢迎关注! WOT全球技术创新大会2022,门票6折抢购中!购票立减2320元!--> 12月22日bleepingcomputer消息,自今年3月以来,就有报道称 Microsoft Teams 链接预览功能存在一些安全漏洞,但微软却表示不会修复或者推迟这些漏洞的修补计划。 这些安全漏洞由德国 IT 安全咨询公司 Positive Security 联合创始人 Fabian Bräunlein 发现,分别是服务器端请求伪造 (SSRF)漏洞、URL 预览欺骗漏洞、IP 地址泄漏 (Android) 漏洞和被称为死亡消息 (Android) 的拒绝服务 (DoS) 漏洞。 Bräunlein 向 Microsoft 安全响应中心 (MSRC) 报告了四个漏洞,该中心负责调查有关 Microsoft 产品及服务的漏洞报告。 “这些漏洞允许访问微软内部服务,欺骗链接预览,并且,对于Android用户来说,泄露他们的IP地址和破坏他们的Teams应用程序/渠道,”研究人员说。 在这四个漏洞中,微软只解决了IP 地址泄漏 (Android) 漏洞,对于其他漏洞,微软...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装