图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位

图片[1]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

解读丨三部门发布网络产品安全漏洞管理规定,推动“白帽”行业合规,造福网络安全企业

南方财经驻广州记者吴立阳报道

近日,南方财经记者独家获悉,工信部网信办发布公告称,阿里云计算有限公司在发现odd()组件存在严重安全漏洞后,未及时向电信主管部门报告,未能有效支持工业和信息化部开展网络安全威胁和漏洞管理工作。经研究,阿里云现作为上述合作单位暂停6个月。停工期满后,根据阿里云整改情况,研究恢复上述合作单位。

多位网络安全领域的专家在接受记者采访时表示,这个组件的漏洞是一个典型的通用漏洞。作为最常用的Java程序日志监控组件之一,在各种衍生框架中都有使用。同时,它也是整个Java生态系统的基础组件之一,一旦这样的组件崩溃,其影响将是毁灭性的。

引发全球计算机安全危机

2001年,软件开发者Ceki Gulcu设计了一套基于Java语言的日志库Log4j,并很快加入了一家专门运营开源软件项目的非盈利组织。在后续的软件迭代升级中,又在Log4j的基础上推出了一个新的开源项目。在保留原有功能的同时,增加了控制日志信息的输出目的地、输出格式、定义信息级别等功能,很快因其简单方便、强大的功能,作为基础集成模块被广泛应用于各种开放使用 Java 的源系统。

但也正是因为它的广泛适用性,在被爆出存在远程代码执行安全漏洞后,在全球计算机领域引发了巨大的安全危机。

近日,谷歌开源团队扫描了 Java 包最重要的存储库 Maven ,发现有 35863 个包使用了易受相关漏洞影响的 Log4j 库版本。 发布报告称,受影响的 Java 包数量占 Maven 中央存储库的 8%。考虑到该存储库的广泛应用,该漏洞将对整个行业生态系统产生巨大影响。北京一家网络安全公司的技术人员告诉记者,大约80%到90%的涉及Java的开发可能会受到该漏洞的影响。

邦邦安全高级副总裁方宁在接受21世纪经济报道记者采访时表示,后台日志功能是大部分系统都会有的模块。作为一款经典的开源软件,很多开发者都会直接将其集成到代码中,而这些新软件可能会集成到其他系统中。经过不断的叠加和嵌套,一旦出现安全问题,整个程序链上的开源软件和系统都会受到影响,影响范围很广。

除了应用广泛之外,该漏洞的另一个主要特点是利用起来非常简单。据专家介绍,攻击者只需向目标输入一段代码,不需要用户执行任何冗余操作即可触发漏洞,允许攻击者远程控制受害用户的服务器,并且超过 90%基于Java开发的应用平台将受到影响。影响。

图片[2]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

根据奇安信集团安宇云防护监测数据,截至12月10日中午12时,已发现利用该漏洞的攻击近万次。奇安信应急响应中心已收到十余个重要单位的漏洞应急响应请求,并于12月9日晚向相关主管部门报告了漏洞信息。据补丁漏洞响应平台负责人介绍,在12月9日深夜,短短一小时内就收到了100多条白帽黑客提交的漏洞信息。

此前猖獗的网络勒索病毒,利用漏洞被发现后各大企业未及时修补的漏洞,发起了新一轮的大规模勒索软件攻击。来自404团队和深信服威胁情报团队的研究人员报告称,勒索软件、勒索软件和其他勒索软件正在利用该漏洞对Linux和系统发起攻击,并将其直接安装在用户终端上。

漏洞应及时报告

根据工信部12月17日在其官网发布的《关于组件重大安全漏洞的网络安全风险提示》,2021年12月9日,工信部网络安全收到威胁和漏洞信息共享平台 向相关网络安全专业组织报告,组件存在严重安全漏洞。工信部立即组织相关网络安全专业机构进行漏洞风险分析,召集阿里云、网络安全公司、网络安全专业机构进行研判,并及时通知并督促软件基金会修复漏洞,并向行业单位报告。风险警告。

《提示》还指出,该漏洞可能导致设备被远程控制,进而可能导致敏感信息被盗、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,提醒有关单位和公众密切关注组件漏洞补丁的发布,检查自身相关系统中组件的使用情况,及时升级组件版本。

在此之前,我国对网络漏洞的处理方式和程序作出了具体要求。《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处理系统漏洞、计算机病毒、网络攻击、网络入侵等安全风险;立即启动应急预案,采取相应补救措施。 ,并按规定向有关主管部门报告。”

今年7月,工业和信息化部、国家互联网信息办公室、公安部联合发布了《网络产品安全漏洞管理规定》,对责任和责任提出了更加详细的要求。网络产品提供者、运营者和信息共享平台的义务。. 第七条规定,网络产品提供者发现或者得知其提供的网络产品存在安全漏洞后,应当立即采取措施并组织核查,评估危害程度和影响范围,并向工信部报告。 2天内技术。安全威胁和漏洞信息共享平台应当提交相关漏洞信息;属于其上游产品或组件的安全漏洞,应立即通知相关产品提供者;对产品用户(包括下游厂商)采取软件、固件升级等措施时,应及时告知,并提供必要的技术支持。

平台方面,工业和信息化部网络安全威胁与漏洞信息共享平台同步向国家网络与信息安全信息通报中心和国家计算机网络应急技术处置协调中心报告相关漏洞信息。

据方宁介绍利用apache web服务器日志分析辨认攻击,目前国内国家级漏洞收集共享平台主要有CNVD(国家信息安全漏洞共享平台)、CNNVD(国家信息安全漏洞库)等,此类平台往往会招募大量第三方安全公司长期向其传播网络安全漏洞,这些第三方公司作为相关部门的支持单位,需要按照规定及时将发现的漏洞提交给国家采集平台。

预计影响将持续

目前,受该漏洞影响和威胁的公司和组织的数量仍在增长。据火线漏洞影响查询网站统计,截至发稿,该漏洞已影响开源软件6万余款,涉及相关版本软件包32万余个。片。

图片[3]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

除了企业,一些政府机构和社会组织也因未能及时修补漏洞而成为黑客攻击的目标。据报道,当地时间12月16日,比利时国防部遭到黑客利用该漏洞的攻击。比利时国防部长回应称,其安全团队正在努力确保网络安全,防止类似事件再次发生。

虽然官方的安全更新是在 12 月 8 日发布的,但预计其影响还会持续很长时间。

“可能需要至少 6 个月的时间才能将这个漏洞的影响降低到一个相对较小的范围内。” 方宁解释说,这类0day漏洞(已发现但尚未修补的漏洞)刚刚被爆出,往往是企业更重视安全问题,拥有相应的财力和人力资源先完成维修。大量中小企业如果没有专门的网络安全部门和团队,可能无法了解相关情况。

广州一家数据公司的技术负责人告诉记者,当大量中小企业越来越依赖云服务商提供的各种基础技术服务的支持时,云服务商有义务承担更多的社会责任。负责预警和安全。

方宁表示,目前各大安全厂商都提供了一些自动化检测工具和脚本,现在最重要的是企业和相关单位要重视,根据国家漏洞库和漏洞平台给出的解决方案,并将其与自己的产品系统进行比较。查看。上述北京网络安全公司的技术人员表示,很多开发者可以及时升级自己的软件版本,避免被黑客利用漏洞攻击。“最重要的是要做好自查和提升。” )

相关新闻:

阿里云已被责令整改。漏洞带来的麻烦何时结束?

漏洞无处不在,更大的威胁可能正在酝酿

作者 | 李阳霞

编辑 | 林觉民

12月22日上午,一则阿里云作为工信部网络安全威胁信息共享平台合作伙伴被暂停六个月的消息在网上疯传。

图片[4]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

据工信部网信办称,阿里云在发现组件存在重大安全漏洞后未及时向电信主管部门报告,未能有效支持工信部开展网络安全威胁和漏洞管理。暂停工信部网络安全威胁信息共享平台合伙人资格6个月。

网信办表示,停牌期满后,将根据阿里云整改情况,研究恢复上述合作单位。

自 12 月 9 日晚发现 Log4j 2 漏洞以来,受到了业界内外的极大关注。有网友表示,“之前没关注过网络安全领域,就知道这个漏洞。”

青腾云安全相关负责人表示:“自从漏洞披露以来,基本上就是一场全民狂欢,无论是安全从业者、安全爱好者,还是做黑产敲诈的黑客,基本上都有一直在不停地工作。”

图片[5]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

众所周知,Log4j 是世界上广泛使用的组件。它的脆弱性影响着整个世界,堪比“永恒之蓝”的脆弱性。开发复杂度低。中断等严重危害,以及由此产生的危害和损失是不可预测的。

据相关媒体报道,比利时国防部网络近日被未知攻击者成功攻击,该攻击者利用日志库log4j中的一个巨大漏洞进行攻击。

不仅政府,企业也是攻击的目标,只要使用JAVA开发基本都会受到影响。同时,个人用户被攻击的案例也时有出现。日前,大量黑客利用Log4j 2漏洞攻击个人用户。

Log4j 2 影响的后果逐渐显现。

1

阿里云“自测”了吗?

图片[6]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

一位业内人士表示:“按照业内漏洞披露的周期,应该先向厂商报告整个过程,厂商会根据漏洞影响在相应时间提供解决方案,然后10天, 45天或90天,然后厂商提供解决方案后才会发出漏洞通知。”

Log4j 2 这次的特别之处在于它是一个开源软件。转发不给修复时间,因为开源软件修复代码是公开的,修复代码的一部分是测试代码,测试代码用来检查修复是否正确,整个过程相当于,基本相当于的漏洞原理和攻击方式。

自12月9日阿里云上报漏洞后,Log4j 2漏洞也逐渐发酵。

自2021年9月1日起正式实施的《网络产品安全漏洞管理规定》,在网络产品提供者提供网络产品安全漏洞修复措施之前,不得发布漏洞信息。认为需要提前发布的,应当与相关网络产品提供商共同评估协商,并报工业和信息化部、公安部、工业和信息化部、部公安机关评估后组织发布。

同时,条例明确相关企业必须接受国家互联网信息办公室、工业和信息化部、公安部及相关行业主管部门至少4项管理检查;同时,企业应在2日内向工信部网络安全威胁与漏洞信息共享平台上报相关漏洞信息。

《网络产品安全漏洞管理条例》第三条规定,国家网信办负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合治理工作,承担电信、互联网行业网络产品安全漏洞的监督管理工作。公安部负责网络产品安全漏洞的监督管理,依法打击利用网络产品安全漏洞的违法犯罪活动。

据了解,12月9日,工信部网络安全威胁与漏洞信息共享平台接到相关网络安全专业组织的报告,称组件存在严重安全漏洞。工信部立即组织相关网络安全专业机构进行漏洞风险分析,召集阿里云、网络安全公司、网络安全专业机构进行研判,并通知并督促软件基金会修复漏洞。及时发现漏洞,并向行业单位发布风险提示。

图片[7]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

2

Log4j 2 漏洞,三步攻击任意设备

Log4j 2 是一个可以在过去十年中排名前 3 的漏洞,其影响范围极其广泛,包括大多数在线业务、我们常用的网站以及具有网络外展功能的硬件产品。

图片[8]-利用apache web服务器日志分析辨认攻击-Apache安全漏洞全球发酵 工信部暂停阿里云合作单位-稻子网

目前,一些勒索软件、挖矿等已经开始行动。其中,网络上也出现了PoC攻击方式。虽然一些安全厂商已经及时响应,制定了一些监控方案和修复方案,但大部分网站还是会受到影响,只是现在更难评估。

对企业来说,即使受到攻击,也只能咬牙切齿,吞进肚子里。没有被攻击或更新版本或找安全厂商寻找漏洞的企业。

据雷锋网介绍利用apache web服务器日志分析辨认攻击,log4j 2的攻击门槛很低,不需要特别配置,只要默认配置就够了,因为攻击代码可以嵌入开发者最常用的功能中直接控制目标服务器。

log4j 是一个用于记录日志的日志组件。一般来说,网站或桌面软件的日志组件在整个软件组件结构中。而log4j只是Java,slf4j也是Java。以往这两个日志组件的漏洞加起来不超过两位数,而且攻击要满足很多配置,不容易成功。

那么我们来还原一下利用log4j漏洞的整个实现过程,为什么容易实现。

第一步:攻击者通过扫描器或其他批处理脚本发送大量请求,确定攻击入口。

第二步:发送JNDI代码引导受害者向恶意服务器发送请求,恶意服务器会返回一堆代码。

第三步:再次发送攻击代码,让受害者请求恶意服务器请求。中间送的东西不一样。恶意服务器第二次将代码返回给受害者,管理员就可以控制受害者。

事实上,只要你在网站上做每一件事,日志就像一个监视器,记录你所做的一切。无论是键盘输入、鼠标点击还是网站代码的更改,您计算机上的软件和网站都会被记录在数据库中。一旦攻击者向您发送消息,您的所有数据都将被泄露。

有厂商表示,只要切断其中一个环节,就可以防止攻击,升级新版本可以避免漏洞。但也有企业反映,如果升级会影响业务,甚至死机,只能使用网络安全厂商的解决方案。

2021 年的最后一个月,可以说是网络安全界惊心动魄的一个月。而这个漏洞值得思考。要知道,漏洞挖掘的难度和技术含量与漏洞利用和漏洞影响不是一个概念。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片