Log4j 第三次发布漏洞补丁,漏洞或将长存
整理 | 鄭麗媛、禾木木
出品?| CSDN
這幾天,Apache Log4j 2 絕對是眾多 Java 程序員提到的高頻詞之一:由于 Apache Log4j 2 引發的嚴重安全漏洞,令一大批安全人員深夜修 Bug、打補丁。此次漏洞更是因為其觸發簡單、攻擊難度低、影響人群廣泛等特點,被許多媒體形容為“核彈級”漏洞。
自 12 月 9 日 Apache Log4j 2 漏洞曝光以來,盡管各大企業都為此緊急引入了保護機制,但黑客依舊在想法設法繞過限制利用漏洞。
近日,Apache團隊在發現2.16版本的問題后,又發布新的Log4j補丁2.17.0,這已經是Log4j大規模攻擊事件后第3個漏洞補丁。
2.16 版本“在查找評估中并不能總是防止無限遞歸”,并解釋說容易收到拒絕服務漏洞的攻擊,該漏洞CVSS評分為7.5。
此版本的問題是由 Akamai Technologies 的首席高級業務經理Hideki Okamoto和一位匿名漏洞研究人員發現的。
當日志配置使用帶有Context Lookups的非默認模式布局(例如:$${ctx:loginId})時,控制MDC(映射調試上下文)輸入數據的攻擊者可以惡意輸入包含遞歸Lookup的數據,導致StackOverflowError。
針對這個漏洞Apache給出了三種緩解措施。
第一就是更新2.17.0補丁。
第二種方法是在日志記錄配置的PatternLayout中,用Thread Context Map patterns (%X、%mdc 或 %MDC)替換 Context Lookups(${ctx:loginId} 或 $${ctx:loginId} 等)。
最后一種辦法就是在配置中,直接刪除對Context Lookups的引用。
不過,Apache解釋只有“log4j-core JAR”文件受2.16版本中漏洞的影響。僅使用“log4j-api JAR”文件而不使用“log4j-core JAR”文件不會受到影響。
無法估量的潛在危害
據 CPR 統計,在 Apache Log4j 2 漏洞發現早期的 12 月 10 日,黑客嘗試利用該漏洞進行攻擊的次數僅有幾千次,但這一數據在隔天卻增至 4 萬次。而截至 Check Point 發布該報告,即漏洞爆發 72 小時后,僅 CPR 傳感器捕捉到利用該漏洞嘗試攻擊的行為就已超過 83 萬次:
不僅攻擊次數在持續攀升,基于該漏洞的新變種也在短時間內迅速衍生,截至報告發布已超過 60 種:
基于這兩個現象,Check Point 認為此次 Apache Log4j 2 漏洞具備“網絡流行病”的特征——迅速傳播毀滅性攻擊。Check Point 表示:“它顯然是近年來互聯網上最嚴重的漏洞之一,其潛在危害是無法估量的。”
全球近一半企業受到影響
“迅速傳播毀滅性攻擊”的前提是,這個漏洞影響著全球大量組織,像野火般蔓延。這一點,作為一個特別通用的開源日志框架,Apache Log4j 2 無疑具備這個特點:Check Point 表示,全球近一半企業因為該漏洞受到了黑客的試圖攻擊。
在被波及的企業中,系統集成商(SI)/增值代理商(VAR)/經銷商受到的沖擊最大(59.1%),其次是便是教育與科研行業(56.9%),互聯網服務提供商(ISP)/管理服務提供商(MSP)也是這次漏洞的主要“受害者”之一,近 55.1% 的企業受到影響:
值得一提的是,對比其他國家,中國受 Apache Log4j 2 漏洞影響相對較小:即便在漏洞爆發高峰期,也只有近 34% 的企業受到波及。這或許與漏洞剛被曝出時,國內如阿里云、斗象科技、綠盟科技、默安科技、奇安信等眾多安全廠商第一時間發布危害通報有關,使許多企業足以趕在黑客利用漏洞高峰期之前便打好補丁。
但 Check Point 指出,由于 Apache Log4j 2 應用范圍大、漏洞修復較為復雜,而利用漏洞卻十分簡便,因此除非企業和相關服務立即采取行動并實施保護以防止對其產品的攻擊,否則這個 Apache Log4j 2 漏洞很可能在未來幾年內也將一直存在。
到目前為止,已有近5000個artifacts被修復,還有 30000個受影響。
參考鏈接:
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/
https://www.bloomberg.com/news/articles/2021-12-13/how-apache-raced-to-fix-a-potentially-disastrous-software-flaw
https://www.zdnet.com/article/apache-releases-new-2-17-0-patch-for-log4j-to-solve-denial-of-service-vulnerability/
往期推薦
虛幻引擎5上的《黑客帝國》全新體驗,愛了愛了
元宇宙真的是割韭菜嗎?
Redis會遇到的坑,你踩過幾個?
核彈級漏洞,把log4j扒給你看!
點分享
點收藏
點點贊
點在看
總結
以上是生活随笔為你收集整理的Log4j 第三次发布漏洞补丁,漏洞或将长存的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: WorkManager从入门到实践,有这
- 下一篇: 到底什么是“无源物联网”?