阿里云都被责令整改了，Log4j2漏洞惹出的乱子何时休？

        12 月 22 日上午，一则阿里云被暂停其工信部网络安全威胁信息共享平台合作单位身份，为期 6 个月的消息，在网上疯传。

　　据工业和信息化部网络安全管理局通报称，阿里云因在发现阿帕奇 Log4j2 组件重大安全漏洞后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。被暂停其工信部网络安全威胁信息共享平台合作单位身份，为期 6 个月。

　　网络安全管理局表示，暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

　　自 12 月 9 日夜间 Log4j 2 漏洞发现以来，受到业内外的极大关注，一位网友表示，“以前不关注网络安全领域都对这一漏洞有所了解。”

　　一位安全专家表示:“从 Log4j2 漏洞披露以来，基本上震动全民，不管是安全从业者，还是安全爱好者抑或是做黑产、做勒索的黑客，基本上彻夜不眠，行动不断。"

　　众所周知，Apache Log4j 是被全球广泛应用的组件，其漏洞影响范围波及全球堪比“永恒之蓝”漏洞，利用复杂度低，一旦利用成功，可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，造成的危害和损失不可预估。

　　据相关媒体报道称，比利时国防部网络最近受到不明攻击者的成功攻击，攻击者利用 Apache 日志库 log4j 的巨大漏洞实施攻击。

　　不仅是政府，还有企业也是攻击的对象，只要使用 JAVA 开发的基本上都会受到影响。同时个人用户受到攻击的案例也已经出现。《我的世界》JAVA 版游戏前几天被监测出大量黑客利用 Apache Log4j 2 漏洞攻击个人用户。

　　Log4j 2 影响的后果逐渐显现。

　　1. 阿里云被“以身试法”了吗？

　　一位业内人士表示：“按照业内漏洞披露的周期，整个流程应该是，先报给厂商，厂商根据漏洞影响度，在相应的时间提供一个解决方案，然后 10 天、 45 天或者 90 天，然后厂家提供了解决方案以后，才会出一个漏洞通告。”

　　这次 Log4j 2 漏洞的特殊就在于它本身是一个开源的软件。没有给修复时间就被疯狂转发，因为开源软件修复代码是公开的，而修复代码里面一部分就是测试代码，而测试代码就是用来检查修复是否正确，整个过程相当于是公开的，基本上就等于公开了漏洞原理和攻击方式。

　　自阿里云 12 月 9 日将漏洞报告给 Apache，Log4j 2 漏洞也开始逐渐发酵。

　　而自 2021 年 9 月 1 日正式施行的《网络产品安全漏洞管理规定》：不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息。认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。

　　同时该规定明确相关企业要接受至少 4 家的管理检查，分别是 国家互联网信息办公室、工业和信息化部、公安部和有关行业主管部门；同时企业应当在 2 日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。

《网络产品安全漏洞管理规定》第三条规定 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理，承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理，依法打击利用网络产品安全漏洞实施的违法犯罪活动。有关主管部门加强跨部门协同配合，实现网络产品安全漏洞信息实时共享，对重大网络产品安全漏洞风险开展联合评估和处置。

　　据了解，12 月 9 日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇 Log4j2 组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

　　2. Log4j 2 漏洞，三步攻陷任何设备

　　Log4j 2 是近十年来可以排到 top3 的漏洞，影响面极广，包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。

　　目前来看一些勒索病毒、挖矿等都已经开始有所动作了，其中 PoC 攻击方式也已经在互联网出现，虽然一些安全厂商也已经及时响应，做出一些监测方案和修复方案，但是绝大部分网站还是会受到影响，只是目前评估起来比较困难。

　　对于企业来说即便受到攻击，也只能打碎牙往肚子里咽。没有受到攻击的企业或更新版本或找安全厂商找补漏洞。

　　据雷峰网(公众号：雷峰网)了解，此次 log4j 2 的攻击门槛非常低，不需要任何特殊配置，只要默认配置就可以，因为攻击代码可以嵌入开发人员最常用的函数中，直接控制目标服务器。

　　log4j 是一个日志组件，用来记录日志的。一般来说，一个网站或者一个桌面软件的日志组件是在整个软件组件结构中的。而 log4j 恰恰是 Java 中，同时 slf4j 也是 Java 中的，以往这两个日志组件的漏洞加起来都没有超过两位数，而且攻击也得满足很多配置，不容易成功。

　　那么我们来还原一下利用 log4j 漏洞整个实现的过程，为什么很容易实现。

　　第一步：攻击者通过扫描器或者其他批量脚本等手段，发送大量请求，确定了攻击入口。

　　第二步：发一段 JNDI 代码，引导受害者向恶意服务器发送请求，接着恶意服务器会返回一堆代码。

　　第三步：再发送攻击代码，让受害者请求恶意服务器请求，这中间发的东西不一样，第二次恶意服务器返回给受害者的代码，就能实现管理者控制受害者的目的。

　　事实上，只要你在网站上的一切操作，日志就像一个监视器一样，记录你的一切操作。不管是键盘输入、鼠标点击亦或是网站代码的变化，电脑上的软件以及网站都会被记录在数据库中，一旦攻击者给你发送消息，那么你的所有数据都将泄露。

　　一些厂家表示，只要切断其中一条链路就可以防止攻击，也可以通过升级新版本来避免漏洞，但是部分企业反映如果升级会对业务造成影响，甚至崩溃，只能使用网络安全厂家的解决方案。

　　2021 年的最后一个月可谓是网络安全圈的惊心动魄。而此次 Log4j2 漏洞非常值得思考，要知道漏洞挖掘的难度、技术含量跟漏洞利用、漏洞影响并非一个概念。