易坊好文馆

  1. 首页 > 生活 >

log4j|阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?( 二 )

ios 导航 车道级



log4j|阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?
文章插图

2.Log4j 2漏洞,三步攻陷任何设备
Log4j 2是近十年来可以排到top3的漏洞,影响面极广,包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。
目前来看一些勒索病毒、挖矿等都已经开始有所动作了,其中PoC攻击方式也已经在互联网出现,虽然一些安全厂商也已经及时响应,做出一些监测方案和修复方案,但是绝大部分网站还是会受到影响,只是目前评估起来比较困难。
对于企业来说即便受到攻击,也只能打碎牙往肚子里咽。没有受到攻击的企业或更新版本或找安全厂商找补漏洞。
据雷峰网了解,此次log4j 2的攻击门槛非常低,不需要任何特殊配置,只要默认配置就可以,因为攻击代码可以嵌入开发人员最常用的函数中,直接控制目标服务器。
log4j 是一个日志组件,用来记录日志的。一般来说,一个网站或者一个桌面软件的日志组件是在整个软件组件结构中的。而 log4j 恰恰是 Java 中,同时slf4j也是Java 中的,以往这两个日志组件的漏洞加起来都没有超过两位数,而且攻击也得满足很多配置,不容易成功。
那么我们来还原一下利用log4j漏洞整个实现的过程,为什么很容易实现。
第一步:攻击者通过扫描器或者其他批量脚本等手段,发送大量请求,确定了攻击入口。
第二步:发一段JNDI 代码,引导受害者向恶意服务器发送请求,接着恶意服务器会返回一堆代码。
第三步:再发送攻击代码,让受害者请求恶意服务器请求,这中间发的东西不一样,第二次恶意服务器返回给受害者的代码,就能实现管理者控制受害者的目的。
事实上,只要你在网站上的一切操作,日志就像一个监视器一样,记录你的一切操作。不管是键盘输入、鼠标点击亦或是网站代码的变化,电脑上的软件以及网站都会被记录在数据库中,一旦攻击者给你发送消息,那么你的所有数据都将泄露。
一些厂家表示,只要切断其中一条链路就可以防止攻击,也可以通过升级新版本来避免漏洞,但是部分企业反映如果升级会对业务造成影响,甚至崩溃,只能使用网络安全厂家的解决方案。
【 log4j|阿里云都被责令整改了,Log4j2漏洞惹出的乱子何时休?】2021年的最后一个月可谓是网络安全圈的惊心动魄。而此次Log4j2漏洞非常值得思考,要知道漏洞挖掘的难度、技术含量跟漏洞利用、漏洞影响并非一个概念。

推荐阅读


上一篇:冷链物流|京东集团与泰森中国正式达成战略合作

下一篇:创新工场|知乎回应“腾讯搜狗退出知乎股东”:是上市后的标准操作,重要股东及其持股比例没有变化