近期,一個高危漏洞引起了全球的網絡安全震盪,該漏洞為 CVE-2021-44228,又名Log4Shell ,引起了紐西蘭電腦緊急響應中心(CERT)、美國國家安全局、德國電信CERT、中國國家互聯網應急中心(CERT/CC)等多國機構發出警告。
Log4Shell 漏洞容易攻擊到 Apple、Tesla、Google、騰訊、Steam 等知名網絡服務商的伺服器。據相關統計,有 6921個應用程式存在被攻擊的危險,其中包含著擁有世界各地玩家的《我的世界》。由於漏洞危害大,範圍廣,短時間難以徹底解決,被業內人士稱為「無處不在的零日漏洞」。
Log4Shell 漏洞為什麼會如此嚴重呢?據悉該漏洞最早是阿里員工在11月24日發現的,隨後阿里雲安全團隊向 Apache 報告 Apache Log4j2 遠程代碼執行(RCE)漏洞,直到12月9日才公開了更多的細節。
Apache 作為當下最流行的跨平台 Web 伺服器之一,其中的開源日誌組件 Apache Log4j2,被運用於許多基於 Java 的應用程式、網站和服務中。恰巧這一次漏洞便是在 Log4j2 的處理程式中發現到的缺陷。
攻擊者可以發送特定惡意數據到目標伺服器,當伺服器把數據寫入日誌時,便會觸發漏洞,實現遠程執行任意代碼。
舉個例子,在《我的世界》中,攻擊者可以通過遊戲聊天發送觸發指令的信息,對方收到之後便會遭受到攻擊。甚至有網友反饋稱,只需更改 iPhone 名稱就可觸發漏洞,攻擊門檻很低。
由於 Log4Shell 的影響深遠,這一次的漏洞堪稱史詩級別,預計要持續幾個月甚至幾年才能完全解決。
為了減少損害,國家互聯網應急中心給出了具體的一些漏洞防範措施,方法如下。
1)添加 jvm 啟動參數-Dlog4j2.formatMsgNoLookups=true;
2)在應用 classpath 下添加 log4j2.component.properties 配置文件,文件內容為log4j2.formatMsgNoLookups=true;
3)JDK 使用 11.0.1、8u191、7u201、6u211 及以上的高版本;
4)部署使用第三方防火牆產品進行安全防護。
