log4j|阿里云都被责令整改了，Log4j2漏洞惹出的乱子何时休？( 二 ) 物联网|边缘|基础设施|wi-fi|云

文章插图

2.Log4j 2漏洞，三步攻陷任何设备
Log4j 2是近十年来可以排到top3的漏洞，影响面极广，包括大部分线上业务、我们平时使用的网站以及有网络外联功能的硬件产品。
目前来看一些勒索病毒、挖矿等都已经开始有所动作了，其中PoC攻击方式也已经在互联网出现，虽然一些安全厂商也已经及时响应，做出一些监测方案和修复方案，但是绝大部分网站还是会受到影响，只是目前评估起来比较困难。
对于企业来说即便受到攻击，也只能打碎牙往肚子里咽。没有受到攻击的企业或更新版本或找安全厂商找补漏洞。
据雷峰网了解，此次log4j 2的攻击门槛非常低，不需要任何特殊配置，只要默认配置就可以，因为攻击代码可以嵌入开发人员最常用的函数中，直接控制目标服务器。
log4j 是一个日志组件，用来记录日志的。一般来说，一个网站或者一个桌面软件的日志组件是在整个软件组件结构中的。而 log4j 恰恰是 Java 中，同时slf4j也是Java 中的，以往这两个日志组件的漏洞加起来都没有超过两位数，而且攻击也得满足很多配置，不容易成功。
那么我们来还原一下利用log4j漏洞整个实现的过程，为什么很容易实现。
第一步：攻击者通过扫描器或者其他批量脚本等手段，发送大量请求，确定了攻击入口。
第二步：发一段JNDI 代码，引导受害者向恶意服务器发送请求，接着恶意服务器会返回一堆代码。
第三步：再发送攻击代码，让受害者请求恶意服务器请求，这中间发的东西不一样，第二次恶意服务器返回给受害者的代码，就能实现管理者控制受害者的目的。
事实上，只要你在网站上的一切操作，日志就像一个监视器一样，记录你的一切操作。不管是键盘输入、鼠标点击亦或是网站代码的变化，电脑上的软件以及网站都会被记录在数据库中，一旦攻击者给你发送消息，那么你的所有数据都将泄露。
一些厂家表示，只要切断其中一条链路就可以防止攻击，也可以通过升级新版本来避免漏洞，但是部分企业反映如果升级会对业务造成影响，甚至崩溃，只能使用网络安全厂家的解决方案。
2021年的最后一个月可谓是网络安全圈的惊心动魄。而此次Log4j2漏洞非常值得思考，要知道漏洞挖掘的难度、技术含量跟漏洞利用、漏洞影响并非一个概念。