刚过去的这个周末,程序员们忙坏了。
所有人都在加班加点修补同一个漏洞。
Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被广泛应用于业务系统开发,用以记录程序输入输出日志信息。
2021年11月24日,阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。由于Log4j2组件在处理程序日志记录时存在JNDI注入缺陷,未经授权的攻击者利用该漏洞,可向目标服务器发送精心构造的恶意数据,触发Log4j2组件解析缺陷,实现目标服务器的任意代码执行,获得目标服务器权限。
CNVD对该漏洞的综合评级为“高危”。这是国家互联网应急中心对这个漏洞的介绍。
也许这个描述对非程序员的人群来说,仍显复杂。若简单“翻译”,就是这个漏洞意味着只需要一个字符串,无需密码或认证,就可以访问任何使用Log4j2这个Java库的服务器,甚至直接在里面运行自己的代码。
某种程度上就相当于任何人都可以拿到一个万能钥匙,进入使用Log4j2的任意一户“人家”,然后想做什么能做什么就全看“小偷”的发挥了。
问题的严重性已经很明显。这个漏洞很快被冠以“核弹级漏洞“、“现代计算机史上最大漏洞”等称号,原因就在于,Log4j2这个Java库实在太流行。
“几乎所有你能想到的互联网公司,都有在使用它”。
而且,这个漏洞还是一个“零日漏洞”。也就是说发现漏洞的同时,利用这个漏洞的攻击就已经在发生了。与那些漏洞已经有了补丁后才出现的黑客攻击相比,这种零日漏洞带来的攻击的手法和带来的危害的可能性都是未知的,这让防御者处在明处,而攻击者却在暗处且看得清你的一举一动。
如应急中心所说,漏洞最早在11月底就已经提交给官方。但修补尚未出现时,事情先变得严重起来——《我的世界》这款最流行的游戏之一,在12月9日遭受了利用这个漏洞的大规模攻击,这款微软旗下的游戏,不少服务器直接关闭。
更多的开发者意识到问题严重:苹果、亚马逊、Steam、腾讯,Github上60644个开源项目的321094个软件包,都在这个名单里。
而且据Apache方面表示,Log4j2作为一个开源组件被用在不同的系统中,使它根本无法追踪到底有多少代码里使用了它。
所有互联网公司都慌了。上周五开始,“几乎所有程序员都在修Log4j2”。
而根据漏洞相关信息开始进行的“攻击”也瞬间猛增。有互联网安全机构记录到12月10日当天开始的海量攻击,其中除了恶意的黑客行为,也有很多是来自试图进一步了解这个漏洞对自己以及一些知名公司安全性影响的“研究”。不少人在百度、谷歌等最基础的服务的登陆或搜索框里输入相关的漏洞字符希望一窥究竟。
这个漏洞的特性意味着,它就像一个夹子,你可以用它掀起一些公司平日遮蔽的较为严实的盖头,看看里面——于是,在更加影响恶劣的数据泄露事件尚未发生时,一些意想不到的“次生灾害”却更早到来。
就在安全圈为之沸腾,讨论如何快速修复,以及不停测试哪些公司在受到影响时,一次针对特斯拉的测试却带出了意想不到的新问题。
12月13日,一名互联网安全人士在微博上公布了几张截图。并配上文字:
特斯拉还是把数据传回美国了嘛。
根据这些截图,这名发布者对这个漏洞在特斯拉移动端App上进行了测试,而特斯拉服务器的IP地址很快被暴露出来,拿着这些IP地址一查,结果显示这些服务器归属美国。
“所有中国业务所产生的所有数据完全存储在中国境内”——特斯拉CEO伊隆· 马斯克今年9月曾经言之凿凿,但似乎被这个漏洞掀起的一角将了一军。
- 苹果|库克压力确实大,在众多国产厂家对标下,iPhone13迎来“真香价”!
- 加盟行业|原来加盟行业是这么玩的!
- 京东|适合过年送长辈的数码好物,好用不贵+大牌保障,最后一个太实用
- 京东正式上线“年礼无忧”服务
- 央视公开“支持”倪光南?柳传志该醒悟了
- 小米 11 Ultra 内测 NFC“读写勿扰”与“解锁后使用”功能
- 造车|苹果造车一波三折,缺了一家“富士康”
- 他是“中国氢弹之父”,他的名字曾绝密28年,他叫于敏
- iPhone|iphone14价格被曝!“胶囊”挖孔屏+三星4nm芯片,售价或5999起
- 一个时代的结束!中国移动:10086 App将于1月30日起