Apache Log4j爆高危漏洞危害堪比“永恒之蓝” 已发现近万次攻击

张军 603 0

来源:21世纪经济报道

  原标题:Apache Log4j爆高危漏洞危害堪比“永恒之蓝” 已发现近万次攻击

  近日,被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞,攻击者仅需一段代码就可远程控制受害者服务器。几乎所有行业都受到该漏洞影响,包括全球多家知名科技公司、电商网站等,漏洞波及面和危害程度均堪比 2017年的“永恒之蓝”漏洞。

  据奇安信集团透露,根据安域云防护的监测数据显示,截至12月10日中午12点,已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求。奇安信已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍,12月9日深夜,仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

  经专家研判,该漏洞影响范围极大,且利用方式十分简单,攻击者仅需向目标输入一段代码,不需要用户执行任何多余操作即可触发该漏洞,使攻击者可以远程控制用户受害者服务器,90%以上基于java开发的应用平台都会受到影响。

前晚,互联网上曝出了 Apache Log4j2 中的远程代码执行漏洞,其危害性使得该漏洞吸引了安全圈所有人的目光。融安网络为防止其继续扩大影响范围,特发布针对该漏洞的分析和修复建议。

一、漏洞介绍

Apache Log4j 是 Apache 实现的一个开源日志组件。Apache Log4j 2 是对 Log4j 的升级,它比其前身 Log4j1.x 提供了重大改进,并提供了 Logback 中可用的许多改进。Apache Log4j2 中存在远程代码执行漏洞,在使用特定的 JNDI 内容进行日志记录时可以触发反序列化漏洞,造成远程代码执行。

二、漏洞利用细节

漏洞评级:【高危

CVSS评分:10(最高级)

该漏洞影响范围极广,危害极大。

漏洞状态:

三、漏洞编号

CVE漏洞编号暂未分配。

四、影响范围

Apache Log4j 2.x <= 2.14.1

五、修复建议

升级项目使用的 Apache Log4j2 到最新 log4j-2.15.0-rc2 版本,具体下载地址如下:

https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2

未能及时升级的缓解措施:

1.添加 jvm 参数 -Dlog4j2.formatMsgNoLookups=true

2. log4j2.formatMsgNoLookups=True

六、融安网络安全产品防护处理

已支持该漏洞的检测和防护。



更多文章、技术交流、商务合作、联系博主

微信扫码或搜索:z360901061

微信扫一扫加我为好友

QQ号联系: 360901061

您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请用微信扫描下面二维码支持博主2元、5元、10元、20元等您想捐的金额吧,狠狠点击下面给点支持吧,站长非常感激您!手机微信长按不能支付解决办法:请将微信支付二维码保存到相册,切换到微信,然后点击微信右上角扫一扫功能,选择支付二维码完成支付。

【本文对您有帮助就好】

您的支持是博主写作最大的动力,如果您喜欢我的文章,感觉我的文章对您有帮助,请用微信扫描上面二维码支持博主2元、5元、10元、自定义金额等您想捐的金额吧,站长会非常 感谢您的哦!!!

发表我的评论
最新评论 总共0条评论