12月22日上午,一则阿里云被暂停成为工信部网络安全威胁信息共享平台合作伙伴6个月的消息在网上疯传。据工信部网络安全管理局通报,阿里云在发现ApacheLog4j2组件存在重大安全漏洞后,未能及时向电信主管部门报告,未能有效支持工信部开展网络安全威胁和漏洞管理的技术。暂停其工信部网络安全威胁信息共享平台合作单位资格,为期6个月。网安局表示,停牌期满后,将根据阿里云整改情况,研究恢复旗下上述合作单位。自12月9日夜间发现Log4j2漏洞以来,受到了业内外的高度关注。有网友表示,“之前不关注网络安全领域,才知道这个漏洞。”一位安全专家表示:“自从Log4j2漏洞被公开以来,基本上震惊了全民。”无论是安全从业者、安全爱好者,还是从事黑产、敲诈勒索的黑客,基本上都是彻夜不眠,不断行动。”众所周知,ApacheLog4j是全世界广泛使用的组件,其漏洞影响范围堪比“永恒之蓝”漏洞影响全球,利用复杂度低,一旦利用成功,可能导致设备远程控制,可能导致盗窃等严重危害敏感信息泄露和设备服务中断,危害和损失难以预料,据相关媒体报道,近日,比利时国防部网络遭到不明攻击者成功攻击,攻击者利用Apache日志库log4j的巨大漏洞进行不仅是政府,企业也是被攻击的对象,只要是用JAVA开发的,基本都会被攻击感染。同时,也出现了个人用户被攻击的案例。《我的世界》JAVA版游戏日前检测到大量黑客利用ApacheLog4j2漏洞对个人用户进行攻击。Log4j2影响的后果正在逐渐显现。1、阿里云“自卫”了吗?一位业内人士表示:“按照业界漏洞披露的周期,整个过程应该是先向厂商报告,厂商会根据漏洞的影响在相应的时间提供解决方案。”然后10天、45天或90天,厂商提供解决方案后,就会发布漏洞通知。”这次的Log4j2漏洞的特殊之处在于它是一个开源软件。没有给出修复时间就疯狂转发了,因为开源软件的修复代码是公开的,修复代码中有一部分是测试代码,测试代码是用来检查修复是否正确的。整个过程相当于公开了,基本相当于公开了漏洞原理和攻击方法的讲解。自12月9日阿里云向Apache报告漏洞后,Log4j2漏洞也逐渐发酵。《网络产品安全漏洞管理规定》,2021年9月1日起正式实施:网络产品提供者未提供网络产品安全漏洞修复措施前,不得发布漏洞信息。认为有必要提前发布的,应当与相关网络产品提供商共同评估协商,报工业和信息化部、公安部,工业和信息化部、信息化部公安厅将组织鉴定放行。同时,条例明确,相关企业必须接受至少四项管理检查,即国家互联网信息办公室、工业和信息化部、公安部、相关行业主管部门;同时,企业应在2日内向工信部申报网络安全检查情况。威胁与漏洞信息共享平台提交相关漏洞信息。《网络产品安全漏洞管理规定》第3条规定,国家互联网信息办公室负责统筹管理网络产品安全漏洞。工业和信息化部负责网络产品安全漏洞综合治理工作,负责电信和互联网行业网络产品安全漏洞的监督管理工作。公安部负责网络产品安全漏洞的监督管理工作,依法打击利用网络产品安全漏洞的违法犯罪活动。相关主管部门加强跨部门协调配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险进行联合评估处置。据了解,12月9日,工信部网络安全威胁与漏洞信息共享平台接到专业网络安全机构报告称,ApacheLog4j2组件存在严重安全漏洞。工信部第一时间组织相关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构研判,通知督促Apache软件基金会修复漏洞及时发现漏洞,并向行业单位发出风险提示。2.Log4j2漏洞,任意设备三步走攻击Log4j2是近十年来排名前3的漏洞。它影响的领域非常广泛,包括大部分在线业务、我们平时使用的网站,以及具有网络外联功能的硬件产品。.目前,一些勒索、挖矿等已经开始行动,网络上也出现了PoC攻击方式。虽然一些安全厂商及时做出了反应,做出了一些监控和修复计划,但大部分站点还是会受到影响,只是此时评估难度较大。对于企业来说,即使受到攻击,也只能打碎牙齿往肚子里咽。没有被攻击的企业或者更新版本或者找安全厂商找漏洞。据雷锋网(公众号:雷锋网)介绍,log4j2的攻击门槛很低,不需要任何特殊配置,只要默认配置就好,因为攻击代码可以嵌入到开发人员最常用的功能。直接控制目标服务器。log4j是一个用于日志记录的日志记录组件。一般来说,网站或桌面软件的日志组件是在整个软件组件结构中。不过,log4j只是Java中的,slf4j也是Java中的。以往这两个日志组件的漏洞加起来不超过两位数,而且攻击要满足很多配置,不容易成功。那么我们来还原一下利用log4j漏洞的整个实现过程,为什么好实现。第一步:攻击者通过扫描器或其他批处理脚本发送大量请求,确定攻击入口。第二步:发送一段JNDI代码,引导受害者向恶意服务器发送请求,然后恶意服务器返回一堆代码。第三步:再次发送攻击代码,让受害者请求恶意服务器请求。中间送的东西不一样。恶意服务器第二次返回给受害者的代码可以实现管理员控制受害者的目的。其实,只要你在网站上做任何事情,日志就像一个监视器,记录着你所有的操作。无论是键盘输入、鼠标点击,还是网站代码修改,电脑上的软件和网站都会记录在数据库中。一旦攻击者向您发送消息,您的所有数据都将被泄露。有厂商表示,可以通过切断其中一个环节来防止攻击,也可以通过升级到新版本来避免漏洞。但也有企业反映,如果升级会影响业务甚至死机,只能使用网络安全厂商的解决方案。2021年的最后一个月,在网络安全圈可谓惊心动魄。这次的Log4j2漏洞值得深思。要知道漏洞挖掘的难度和技术含量与漏洞利用和漏洞影响不是一个概念。本文转载自雷锋网。如需转载,请在雷锋网官网申请授权。
