据美联社12月11日报道,中国阿里云安全团队在Web服务器软件阿帕奇(Apache)下的开源日志组件Log4j内,发现一个漏洞Log4Shell。这一漏洞的存在,可以让网络攻击者无需密码就能访问网络服务器。
网络安全专家认为,这一漏洞潜在危害极大,甚至可能是“计算机历史上最大的漏洞”。包括苹果、三星以及Steam在内的云服务都可能受到影响。阿帕奇软件基金会已将这一漏洞的严重性列为最高。
阿里云团队12月10日发布的最新预警
事件起始于上月24日,中国阿里云团队的一名成员向阿帕奇披露了这一漏洞。随后,奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。
新西兰方面称,该漏洞正在被“积极利用”,并且概念验证代码也已被发布。
这次曝光的漏洞,存在于Java日志框架的Log4j,被广泛应用于各种应用程序和网络服务,是一种程序内的纪录工具,保存执行活动的过程,方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录,这也使得Log4j影响广泛。
网络安全管理公司Cloudflare首席安全官乔·沙利文(Joe Sullivan)表示,这一漏洞允许恶意攻击者“远程执行代码”,以获取对其他系统的访问,鉴于Log4j软件被广泛使用,这可能是迄今为止“最大的漏洞”。
到了本月10日,警报进一步扩大。当天,微软旗下游戏《我的世界》(Minecraft)发布公告称,游戏的Java版容易受到攻击,并建议用户立即采取措施解决安全问题。玩家可以通过在游戏聊天框中粘贴信息的方式,在其他玩家的电脑上执行程序。
同一天,沙利文称公司在“过去6到10小时内”发现,使用这一漏洞的恶意用户激增。
数据安全平台LunaSec的研究人员发现,有证据表明Steam、以及苹果的云服务受到了影响,而帕洛阿尔托网络公司(Palo Alto Network)在一篇博文中指出,推特和亚马逊也受到了攻击。
专家们严正警告了本次漏洞的潜在危害性。
网络安全公司Crowdstrike高级副主席迈耶斯(Adam Meyers)表示,在美国时间10日早上,黑客已经将漏洞“完全武器化”,还开发出利用该漏洞工具向外分发。他形容称“互联网当下正冒火”,不法分子和黑客正争先恐后地利用这个漏洞,而各大机构网络安全人员则争分夺秒地努力修补。
另一家网络安全公司Tenable的首席执行官阿米特·约兰(Amit Yoran)称,Log4Shell是“过去十年内最大也是最关键的单一漏洞”,甚至可能是“现代计算机历史上最大的漏洞”。
美联社则评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j在全行业和政府使用的云服务器和企业软件中“无处不在”。除非被修复,否则犯罪分子、间谍乃至编程信守,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿帕奇软件基金基金会,已经将这一漏洞的严重性列为10级中的最高。
国外社交媒体用户以表情包的形式,说明Log4j的重要性
目前,各大公司已经开始着手修复这一漏洞。根据世界最大网络安全公司迈卡菲(McAfee)的说法, 最重要和最完整的缓解方法,是将log4j更新到稳定版本2.15.0。
未来,迈卡菲还计划使用额外的服务如(DNS)来测试该漏洞的变化。我们可能会根据结果相应地更新本文档。同时,迈卡菲企业已经为利用NSP(网络安全平台)的客户发布了一个网络签名KB95088,该签名可检测攻击者利用漏洞的企图。
12月10日,阿里云安全团队发布公告称,发现阿帕奇Log4j 2.15.0-rc1版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
网络安全学习资源分享:
最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助!
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套200G学习资源包免费分享!
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
扫一扫
3434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
