上周末,你是否被 Log4j 刷屏呢?
安全圈子里的人,第一感觉就是出事了。各种网络安全相关的公众号都在发相同的内容,反倒是开发圈子里一篇安静祥和。
先说这件事的主角,Log4j 是一个 Java 的日志组件,使用非常广泛。还有一点,它是开源的,任何企业和个人都可以使用它,而它的维护者没有任何劳动报酬。
维护者也进入了一边被骂,一边免费干活的窘境。
这次事发北京时间周三(2021年12月8号)的晚上。国内的安全厂商第一时间发出警告,于是当晚(具体说是凌晨,哎,苦命的运维同学们),安全团队、运维团队齐上阵,进行紧急修补。然后又快马加鞭的写公众号,就像终点前的冲刺一样,齐刷刷的在当天中午前发出各家修补方案。
这是一次实战,充分展示各家在安全上的硬实力。
回到 Log4j 本身,这次漏洞的影响被称为一次“核爆”,而且复现手段简单,杀伤力大。连百度,icloud都被攻陷,甚至我的世界里都存在漏洞利用。
为什么危害如此之大?这是一个反序列化漏洞的利用,通过一条简单的命令,即可注入恶意的代码。
虽然修复起来难度也不大,但是影响已经逐渐体现,并形成了一个巨大的攻击面,数以百万的Java程序在记录日志,这个漏洞很容易被利用。据 Cloudflare 的统计,每分钟大约有 20,000 个被拦截的漏洞利用请求。
在任何一个时间段里,有200到400个 IP 进行漏洞扫描。
前5位的攻击来源,是加拿大,美国,荷兰,法国,英国。
当然,所有的行为可能来自漏洞探测,或者兴趣爱好。不过漏洞的利用是真实存在的,信息的泄露会导致诸多后果,也请各位多加留意。
相关阅读:
https://thehackernews.com/2021/12/apache-log4j-vulnerability-log4shell.html
https://blog.cloudflare.com/actual-cve-2021-44228-payloads-captured-in-the-wild/
1410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
