一時間，這個高危漏洞引發(fā)全球網(wǎng)絡(luò)安全震蕩！

CVE-2021-44228，又名Log4Shell。

新西蘭計算機緊急響應中心（CERT）、美國國家安全局、德國電信CERT、中國國家互聯(lián)網(wǎng)應急中心（CERT/CC）等多國機構(gòu)相繼發(fā)出警告。

已證實服務(wù)器易受到漏洞攻擊的公司包括蘋果、亞馬遜、特斯拉、谷歌、百度、騰訊、網(wǎng)易、京東、Twitter、 Steam等。據(jù)統(tǒng)計，共有6921個應用程序都有被攻擊的風險，其中《我的世界》首輪即被波及。

其危害程度之高，影響范圍之大，以至于不少業(yè)內(nèi)人士將其形容為“無處不在的零日漏洞”。

這究竟是怎么一回事？

這個漏洞最早是由阿里員工發(fā)現(xiàn)。11月24日，阿里云安全團隊向Apache報告了Apache Log4j2遠程代碼執(zhí)行（RCE)漏洞。12月9日，更多利用細節(jié)被公開。

Apache，是當前全球最流行的跨平臺Web服務(wù)器之一。

而作為當中的開源日志組件Apache Log4j2，被數(shù)百萬基于Java的應用程序、網(wǎng)站和服務(wù)所使用。

據(jù)報道，此次漏洞是由于Log4j2在處理程序日志記錄時存在JNDI注入缺陷。

（JNDI：Java命名和目錄接口，是Java的一個目錄服務(wù)應用程序接口，它提供一個目錄系統(tǒng)，并將服務(wù)名稱與對象關(guān)聯(lián)起來，從而使得開發(fā)人員在開發(fā)過程中可以使用名稱來訪問對象。）

攻擊者可利用該漏洞，向目標服務(wù)器發(fā)送惡意數(shù)據(jù)，當服務(wù)器在將數(shù)據(jù)寫入日志時，觸發(fā)Log4j2組件解析缺陷，進而在未經(jīng)授權(quán)的情況下，實現(xiàn)遠程執(zhí)行任意代碼。

以最先受到影響的《我的世界》為例，攻擊者只需在游戲聊天中，發(fā)送一條帶觸發(fā)指令的消息，就可以對收到該消息的用戶發(fā)起攻擊。

目前已經(jīng)有網(wǎng)友證實，更改iPhone名稱就可以觸發(fā)漏洞。

還有網(wǎng)友試了試百度搜索框、火狐瀏覽器里輸入帶${的特殊格式請求，就能造成網(wǎng)頁劫持。

而像IT通信（互聯(lián)網(wǎng)）、工業(yè)制造、金融、醫(yī)療衛(wèi)生、運營商等各行各業(yè)都將受到波及，全球互聯(lián)網(wǎng)大廠、游戲公司、電商平臺等夜都有被影響的風險。

其中甚至包括美國國家安全局的逆向工程工具GHIDRA。

因此也就不奇怪，在9號當晚公開那天聽說不少程序員半夜起來敲代碼。

網(wǎng)絡(luò)監(jiān)控Greynoise表示，攻擊者正在積極尋找易受Log4Shell攻擊的服務(wù)器，目前大約有100個不同的主機正在掃描互聯(lián)網(wǎng)，尋找利用 Log4j 漏洞的方法。

考慮到這個庫無處不在、帶來的影響以及觸發(fā)難度較低，安全平臺LunaSec將其稱為Log4Shell漏洞，甚至警告說，任何使用Apache Struts的人都“可能容易受到攻擊”。

不少網(wǎng)友對此驚嘆于這史詩級別的漏洞，并擔心恐要持續(xù)幾個月甚至幾年。

2021年12月9日，Apache官方發(fā)布了緊急安全更新以修復該遠程代碼執(zhí)行漏洞。但更新后的Apache Log4j 2.15.0-rc1 版本被發(fā)現(xiàn)仍存在漏洞繞過。

12月10日凌晨2點，Apache再度緊急發(fā)布log4j-2.15.0-rc2版本。

與此同時，國家互聯(lián)網(wǎng)應急中心還給出了如下措施以進行漏洞防范。

1）添加jvm啟動參數(shù)-Dlog4j2.formatMsgNoLookups=true；

2）在應用classpath下添加log4j2.component.properties配置文件，文件內(nèi)容為log4j2.formatMsgNoLookups=true；

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本；

4）部署使用第三方防火墻產(chǎn)品進行安全防護。

總結(jié)

以上是生活随笔為你收集整理的核弹级漏洞席卷全球！程序员都懵了 修改iPhone名就可触发的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。