來(lái)源:21世紀(jì)經(jīng)濟(jì)報(bào)道
原標(biāo)題:Apache Log4j爆高危漏洞危害堪比“永恒之藍(lán)” 已發(fā)現(xiàn)近萬(wàn)次攻擊
近日,被全球廣泛應(yīng)用的組件Apache Log4j被曝出一個(gè)已存在在野利用的高危漏洞,攻擊者僅需一段代碼就可遠(yuǎn)程控制受害者服務(wù)器。幾乎所有行業(yè)都受到該漏洞影響,包括全球多家知名科技公司、電商網(wǎng)站等,漏洞波及面和危害程度均堪比 2017年的“永恒之藍(lán)”漏洞。
據(jù)奇安信集團(tuán)透露,根據(jù)安域云防護(hù)的監(jiān)測(cè)數(shù)據(jù)顯示,截至12月10日中午12點(diǎn),已發(fā)現(xiàn)近1萬(wàn)次利用該漏洞的攻擊行為。奇安信應(yīng)急響應(yīng)中心已接到十余起重要單位的漏洞應(yīng)急響應(yīng)需求。奇安信已于12月9日晚間將漏洞信息上報(bào)了相關(guān)主管部門(mén)。補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人介紹,12月9日深夜,僅一小時(shí)內(nèi)就收到白帽黑客提交的百余條該漏洞的信息。
經(jīng)專(zhuān)家研判,該漏洞影響范圍極大,且利用方式十分簡(jiǎn)單,攻擊者僅需向目標(biāo)輸入一段代碼,不需要用戶(hù)執(zhí)行任何多余操作即可觸發(fā)該漏洞,使攻擊者可以遠(yuǎn)程控制用戶(hù)受害者服務(wù)器,90%以上基于java開(kāi)發(fā)的應(yīng)用平臺(tái)都會(huì)受到影響。
前晚,互聯(lián)網(wǎng)上曝出了 Apache Log4j2 中的遠(yuǎn)程代碼執(zhí)行漏洞,其危害性使得該漏洞吸引了安全圈所有人的目光。融安網(wǎng)絡(luò)為防止其繼續(xù)擴(kuò)大影響范圍,特發(fā)布針對(duì)該漏洞的分析和修復(fù)建議。
一、漏洞介紹
Apache Log4j 是 Apache 實(shí)現(xiàn)的一個(gè)開(kāi)源日志組件。Apache Log4j 2 是對(duì) Log4j 的升級(jí),它比其前身 Log4j1.x 提供了重大改進(jìn),并提供了 Logback 中可用的許多改進(jìn)。Apache Log4j2 中存在遠(yuǎn)程代碼執(zhí)行漏洞,在使用特定的 JNDI 內(nèi)容進(jìn)行日志記錄時(shí)可以觸發(fā)反序列化漏洞,造成遠(yuǎn)程代碼執(zhí)行。
二、漏洞利用細(xì)節(jié)
漏洞評(píng)級(jí):【高危】
CVSS評(píng)分:10(最高級(jí))
該漏洞影響范圍極廣,危害極大。
漏洞狀態(tài):
三、漏洞編號(hào)
CVE漏洞編號(hào)暫未分配。
四、影響范圍
Apache Log4j 2.x <= 2.14.1
五、修復(fù)建議
升級(jí)項(xiàng)目使用的 Apache Log4j2 到最新 log4j-2.15.0-rc2 版本,具體下載地址如下:
https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2
未能及時(shí)升級(jí)的緩解措施:
1.添加 jvm 參數(shù) -Dlog4j2.formatMsgNoLookups=true
2. log4j2.formatMsgNoLookups=True
六、融安網(wǎng)絡(luò)安全產(chǎn)品防護(hù)處理
已支持該漏洞的檢測(cè)和防護(hù)。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫(xiě)作最大的動(dòng)力,如果您喜歡我的文章,感覺(jué)我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
