一時間,這個高危漏洞引發全球網路安全震盪!
CVE-2021-44228,又名Log4Shell 。
紐西蘭計算機緊急響應中心(CERT)、美國國家安全局、德國電信 CERT 等多國機構相繼發出警告。
已證實伺服器易受到漏洞攻擊的公司包括蘋果、亞馬遜、特斯拉、谷歌、Twitter、 Steam等。據統計,共有6921個應用程序都有被攻擊的風險,其中《我的世界》首輪即被波及。
其危害程度之高,影響範圍之大,以至於不少業內人士將其形容為「無處不在的零日漏洞」。
這究竟是怎麼一回事?
Java程式設計師都懵了
這個漏洞最早是由阿里員工發現。11月24日,阿里雲安全團隊向Apache報告了Apache Log4j2遠端程式碼執行(RCE)漏洞。12月9日,更多利用細節被公開。
Apache,是當前全球最流行的跨平臺Web伺服器之一。
而作為當中的開源日誌元件Apache Log4j2,被數百萬基於Java的應用程序、網站和服務所使用。
據報道,此次漏洞是由於Log4j2在處理程序日誌記錄時存在JNDI注入缺陷。
(JNDI:Java命名和目錄接口,是Java的一個目錄服務應用程序接口,它提供一個目錄系統,並將服務名稱與對象關聯起來,從而使得開發人員在開發過程中可以使用名稱來訪問對象。)
攻擊者可利用該漏洞,向目標伺服器發送惡意資料,當伺服器在將資料寫入日誌時,觸發Log4j2元件解析缺陷,進而在未經授權的情況下,實現遠端執行任意程式碼。
以最先受到影響的《我的世界》為例,攻擊者只需在遊戲聊天中,發送一條帶觸發指令的訊息,就可以對收到該訊息的使用者發起攻擊。
目前已經有網友證實,更改iPhone名稱就可以觸發漏洞。
還有網友試了試 Google 搜尋框、Firefox 瀏覽器裡輸入帶${的特殊格式請求,就能造成網頁劫持。
而像IT通訊(網際網路)、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及,全球網際網路大廠、遊戲公司、電商平臺等夜都有被影響的風險。
其中甚至包括美國國家安全局的逆向工程工具GHIDRA。
因此也就不奇怪,在9號當晚公開那天聽說不少程式設計師半夜起來敲程式碼。
網路監控Greynoise表示,攻擊者正在積極尋找易受Log4Shell攻擊的伺服器,目前大約有100個不同的主機正在掃描網際網路,尋找利用 Log4j 漏洞的方法。
考慮到這個庫無處不在、帶來的影響以及觸發難度較低,安全平臺LunaSec將其稱為Log4Shell漏洞,甚至警告說,任何使用Apache Struts的人都「可能容易受到攻擊」。
不少網友對此驚歎於這史詩級別的漏洞,並擔心恐要持續幾個月甚至幾年。
如何解決?
2021年12月9日,Apache官方發佈了緊急安全更新以修復該遠端程式碼執行漏洞。但更新後的Apache Log4j 2.15.0-rc1 版本被發現仍存在漏洞繞過。
12月10日凌晨2點,Apache再度緊急發佈log4j-2.15.0-rc2版本。
與此同時,國家網際網路應急中心還給出瞭如下措施以進行漏洞防範。
1)添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true;
2)在應用classpath下添加log4j2.component.properties配置檔案,檔案內容為log4j2.formatMsgNoLookups=true;
3)JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;
4)部署使用第三方防火牆產品進行安全防護。
參考連結:
[1]https://www.lunasec.io/docs/blog/log4j-zero-day/
[2]https://www.cert.org.cn/publish/main/9/2021/20211210110550958546708/20211210110550958546708_.html
[3]https://techcrunch.com/2021/12/10/apple-icloud-twitter-and-minecraft-vulnerable-to-ubiquitous-zero-day-exploit/
[4]https://github.com/YfryTchsGD/Log4jAttackSurface
