緊急！ Log4j漏洞風(fēng)險(xiǎn)，堪比“永恒之藍(lán)”或?qū)⒂绊?0%以上企業(yè)

雷鋒網(wǎng)消息：昨日夜間，Apache Log4j2引發(fā)嚴(yán)重安全漏洞，疑似很多公司的服務(wù)器被掃描攻擊，一大批安全人員深夜修bug，堪稱“核彈級(jí)”漏洞。

經(jīng)專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標(biāo)輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠(yuǎn)程控制用戶受害者服務(wù)器，90%以上基于java開發(fā)的應(yīng)用平臺(tái)都會(huì)受到影響。

log4j是Apache的一個(gè)開源項(xiàng)目, 是一個(gè)基于Java的日志記錄框架。Log4j2是log4j的后繼者，被大量用于業(yè)務(wù)系統(tǒng)開發(fā)，記錄日志信息。很多互聯(lián)網(wǎng)公司以及耳熟能詳?shù)墓镜南到y(tǒng)都在使用該框架。

據(jù)網(wǎng)友描述：“百度的主頁搜索被黑了，所有Java同學(xué)起床修bug，影響很大”。

此次Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞，已經(jīng)被攻擊者利用并公開擴(kuò)散。觸發(fā)條件：只要外部用戶輸入的數(shù)據(jù)會(huì)被日志記錄，即可造成遠(yuǎn)程代碼執(zhí)行。

有網(wǎng)友表示：“可以說是災(zāi)難性的漏洞，比之前的fastjson和shiro還要嚴(yán)重，這個(gè)漏洞估計(jì)在之后三四年內(nèi)還會(huì)繼續(xù)存在”。

如果被攻擊，影響的范圍堪比2017年“永恒之藍(lán)”病毒，當(dāng)年的WannaCry勒索病毒，致使美國、英國、俄羅斯、中國等至少150個(gè)國家，30萬名用戶中招。

雷峰網(wǎng)從奇安信集團(tuán)了解到，根據(jù)安域云防護(hù)的監(jiān)測(cè)數(shù)據(jù)顯示，截至12月10日中午12點(diǎn)，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為。奇安信應(yīng)急響應(yīng)中心已接到十余起重要單位的漏洞應(yīng)急響應(yīng)需求，已于12月9日晚間將漏洞信息上報(bào)了相關(guān)主管部門。補(bǔ)天漏洞響應(yīng)平臺(tái)負(fù)責(zé)人介紹，12月9日深夜，僅一小時(shí)內(nèi)就收到白帽黑客提交的百余條該漏洞的信息。

安全專家還表示，開源軟件安全治理是一項(xiàng)任重道遠(yuǎn)的工作，需要國家、行業(yè)、用戶、軟件廠商都重視起來并投入才能達(dá)到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示："漏洞嚴(yán)重，建議排查所有系統(tǒng)依賴升級(jí)到log4j-2.15.0-rc1。業(yè)務(wù)系統(tǒng)可能沒有直接引用，但是旁路的日志、大數(shù)據(jù)等Java體系生態(tài)中基本上都有，仍然會(huì)被打。"

據(jù)雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))了解，2021年11月24日，阿里云安全團(tuán)隊(duì)向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。

昨日，阿里云應(yīng)急響應(yīng)中心提醒用戶盡快采取安全措施阻止漏洞攻擊，并表示：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

有些廠家給出排查方式，用戶只需排查Java應(yīng)用是否引入 log4j-api , log4j-core 兩個(gè)jar。若存在應(yīng)用使用，極大可能會(huì)受到影響。

目前似乎尚無統(tǒng)一解決辦法，有業(yè)內(nèi)人士稱正在等待官方修復(fù)補(bǔ)丁，保險(xiǎn)起見選擇版本回滾。縱觀當(dāng)前討論態(tài)勢(shì)，預(yù)計(jì)漏洞影響還在繼續(xù)發(fā)酵當(dāng)中。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。