12月22日上午，一則阿里云被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位身份，為期6個(gè)月的消息，在網(wǎng)上瘋傳。

據(jù)工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱(chēng)，阿里云因在發(fā)現(xiàn)阿帕奇Log4j2組件重大安全漏洞后，未及時(shí)向電信主管部門(mén)報(bào)告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò)安全威脅和漏洞管理。被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位身份，為期6個(gè)月。

網(wǎng)絡(luò)安全管理局表示，暫停期滿后，根據(jù)阿里云公司整改情況，研究恢復(fù)其上述合作單位。

自12月9日夜間Log4j 2漏洞發(fā)現(xiàn)以來(lái)，受到業(yè)內(nèi)外的極大關(guān)注，一位網(wǎng)友表示，“以前不關(guān)注網(wǎng)絡(luò)安全領(lǐng)域都對(duì)這一漏洞有所了解。”

一位安全專(zhuān)家表示:“從Log4j2漏洞披露以來(lái)，基本上震動(dòng)全民，不管是安全從業(yè)者，還是安全愛(ài)好者抑或是做黑產(chǎn)、做勒索的黑客，基本上徹夜不眠，行動(dòng)不斷。"

眾所周知，Apache Log4j是被全球廣泛應(yīng)用的組件，其漏洞影響范圍波及全球堪比“永恒之藍(lán)”漏洞，利用復(fù)雜度低，一旦利用成功，可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，造成的危害和損失不可預(yù)估。

據(jù)相關(guān)媒體報(bào)道稱(chēng)，比利時(shí)國(guó)防部網(wǎng)絡(luò)最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫(kù)log4j的巨大漏洞實(shí)施攻擊。

不僅是政府，還有企業(yè)也是攻擊的對(duì)象，只要使用JAVA開(kāi)發(fā)的基本上都會(huì)受到影響。同時(shí)個(gè)人用戶受到攻擊的案例也已經(jīng)出現(xiàn)?！段业氖澜纭稪AVA版游戲前幾天被監(jiān)測(cè)出大量黑客利用Apache Log4j 2漏洞攻擊個(gè)人用戶。

Log4j 2影響的后果逐漸顯現(xiàn)。

1.阿里云被“以身試法”了嗎?

一位業(yè)內(nèi)人士表示：“按照業(yè)內(nèi)漏洞披露的周期，整個(gè)流程應(yīng)該是，先報(bào)給廠商，廠商根據(jù)漏洞影響度，在相應(yīng)的時(shí)間提供一個(gè)解決方案，然后10天、 45 天或者 90 天，然后廠家提供了解決方案以后，才會(huì)出一個(gè)漏洞通告。”

這次Log4j 2漏洞的特殊就在于它本身是一個(gè)開(kāi)源的軟件。沒(méi)有給修復(fù)時(shí)間就被瘋狂轉(zhuǎn)發(fā)，因?yàn)殚_(kāi)源軟件修復(fù)代碼是公開(kāi)的，而修復(fù)代碼里面一部分就是測(cè)試代碼，而測(cè)試代碼就是用來(lái)檢查修復(fù)是否正確，整個(gè)過(guò)程相當(dāng)于是公開(kāi)的，基本上就等于公開(kāi)了漏洞原理和攻擊方式。

自阿里云12月9日將漏洞報(bào)告給Apache，Log4j 2漏洞也開(kāi)始逐漸發(fā)酵。

而自2021年9月1日正式施行的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》：不得在網(wǎng)絡(luò)產(chǎn)品提供者提供網(wǎng)絡(luò)產(chǎn)品安全漏洞修補(bǔ)措施之前發(fā)布漏洞信息。認(rèn)為有必要提前發(fā)布的，應(yīng)當(dāng)與相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者共同評(píng)估協(xié)商，并向工業(yè)和信息化部、公安部報(bào)告，由工業(yè)和信息化部、公安部組織評(píng)估后進(jìn)行發(fā)布。

同時(shí)該規(guī)定明確相關(guān)企業(yè)要接受至少4家的管理檢查，分別是 國(guó)家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部和有關(guān)行業(yè)主管部門(mén);同時(shí)企業(yè)應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第三條規(guī)定 國(guó)家互聯(lián)網(wǎng)信息辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作。工業(yè)和信息化部負(fù)責(zé)網(wǎng)絡(luò)產(chǎn)品安全漏洞綜合管理，承擔(dān)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)產(chǎn)品安全漏洞監(jiān)督管理。公安部負(fù)責(zé)網(wǎng)絡(luò)產(chǎn)品安全漏洞監(jiān)督管理，依法打擊利用網(wǎng)絡(luò)產(chǎn)品安全漏洞實(shí)施的違法犯罪活動(dòng)。有關(guān)主管部門(mén)加強(qiáng)跨部門(mén)協(xié)同配合，實(shí)現(xiàn)網(wǎng)絡(luò)產(chǎn)品安全漏洞信息實(shí)時(shí)共享，對(duì)重大網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險(xiǎn)開(kāi)展聯(lián)合評(píng)估和處置。

據(jù)了解，12月9日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)報(bào)告，阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。工信部立即組織有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析，召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)等開(kāi)展研判，通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞，向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警。

2.Log4j 2漏洞，三步攻陷任何設(shè)備

Log4j 2是近十年來(lái)可以排到top3的漏洞，影響面極廣，包括大部分線上業(yè)務(wù)、我們平時(shí)使用的網(wǎng)站以及有網(wǎng)絡(luò)外聯(lián)功能的硬件產(chǎn)品。

目前來(lái)看一些勒索病毒、挖礦等都已經(jīng)開(kāi)始有所動(dòng)作了，其中PoC攻擊方式也已經(jīng)在互聯(lián)網(wǎng)出現(xiàn)，雖然一些安全廠商也已經(jīng)及時(shí)響應(yīng)，做出一些監(jiān)測(cè)方案和修復(fù)方案，但是絕大部分網(wǎng)站還是會(huì)受到影響，只是目前評(píng)估起來(lái)比較困難。

對(duì)于企業(yè)來(lái)說(shuō)即便受到攻擊，也只能打碎牙往肚子里咽。沒(méi)有受到攻擊的企業(yè)或更新版本或找安全廠商找補(bǔ)漏洞。

據(jù)雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))了解，此次log4j 2的攻擊門(mén)檻非常低，不需要任何特殊配置，只要默認(rèn)配置就可以，因?yàn)楣舸a可以嵌入開(kāi)發(fā)人員最常用的函數(shù)中，直接控制目標(biāo)服務(wù)器。

log4j 是一個(gè)日志組件，用來(lái)記錄日志的。一般來(lái)說(shuō)，一個(gè)網(wǎng)站或者一個(gè)桌面軟件的日志組件是在整個(gè)軟件組件結(jié)構(gòu)中的。而 log4j 恰恰是 Java 中，同時(shí)slf4j也是Java 中的，以往這兩個(gè)日志組件的漏洞加起來(lái)都沒(méi)有超過(guò)兩位數(shù)，而且攻擊也得滿足很多配置，不容易成功。

那么我們來(lái)還原一下利用log4j漏洞整個(gè)實(shí)現(xiàn)的過(guò)程，為什么很容易實(shí)現(xiàn)。

• 第一步：攻擊者通過(guò)掃描器或者其他批量腳本等手段，發(fā)送大量請(qǐng)求，確定了攻擊入口。
• 第二步：發(fā)一段JNDI 代碼，引導(dǎo)受害者向惡意服務(wù)器發(fā)送請(qǐng)求，接著惡意服務(wù)器會(huì)返回一堆代碼。
• 第三步：再發(fā)送攻擊代碼，讓受害者請(qǐng)求惡意服務(wù)器請(qǐng)求，這中間發(fā)的東西不一樣，第二次惡意服務(wù)器返回給受害者的代碼，就能實(shí)現(xiàn)管理者控制受害者的目的。

事實(shí)上，只要你在網(wǎng)站上的一切操作，日志就像一個(gè)監(jiān)視器一樣，記錄你的一切操作。不管是鍵盤(pán)輸入、鼠標(biāo)點(diǎn)擊亦或是網(wǎng)站代碼的變化，電腦上的軟件以及網(wǎng)站都會(huì)被記錄在數(shù)據(jù)庫(kù)中，一旦攻擊者給你發(fā)送消息，那么你的所有數(shù)據(jù)都將泄露。

一些廠家表示，只要切斷其中一條鏈路就可以防止攻擊，也可以通過(guò)升級(jí)新版本來(lái)避免漏洞，但是部分企業(yè)反映如果升級(jí)會(huì)對(duì)業(yè)務(wù)造成影響，甚至崩潰，只能使用網(wǎng)絡(luò)安全廠家的解決方案。

2021年的最后一個(gè)月可謂是網(wǎng)絡(luò)安全圈的驚心動(dòng)魄。而此次Log4j2漏洞非常值得思考，要知道漏洞挖掘的難度、技術(shù)含量跟漏洞利用、漏洞影響并非一個(gè)概念。

本文轉(zhuǎn)自雷鋒網(wǎng)，如需轉(zhuǎn)載請(qǐng)至雷鋒網(wǎng)官網(wǎng)申請(qǐng)授權(quán)。