一、漏洞的原因
log4j2是Apache的一个开源日志框架,近期因漏洞频繁被黑客利用。漏洞的原因在于log4j2的Lookup机制中,存在一个允许调用远程Java方法的类名参数。攻击者可以调用远程的Java方法,根据自己的需要在服务器上执行命令或注入代码等操作。
二、漏洞的危害
利用log4j2漏洞,攻击者可以在服务器上获取系统高权限,对服务器进行任意操作,如上传、修改、删除、执行命令等。严重侵犯了数据的保密性、完整性和可用性。并会导致企业、组织不必要的财务损失和声誉损失。
三、漏洞的影响
由于log4j2是Java项目中最常使用的日志框架之一,因此该漏洞的影响非常广泛。曾有网友发布研究报告称,已确认了41万个受影响的IP地址,并形容此漏洞“开放了一个后门,整个网络都面临恶意攻击风险”。
四、修复建议
为避免遭受攻击,安全专家建议企业管理员及时修复该漏洞。具体修复方法如下:
1. 将log4j-core升级到2.16.0及以上版本;
2. 关闭log4j2解析对象参数SupportsJndi,可通过在log4j2.xml配置中添加如下代码实现: <Properties>
<Property name="log4j2.formatMsgNoLookups">true</Property>
</Properties>
3. 建议对不必要的远程方法调用做出限制,禁止通信IP或网络段的方法调用;
4. 当组织发现log4j漏洞时,应尽快采取应对措施,扫描和移除恶意文件、关闭口令、加强安全措施等。
五、被攻击的案例
最近,一些国内外大型公司已被攻击,例如泰国银行、美团、斗鱼直播等,都因log4j2漏洞被攻击导致数据泄露和业务受损。其中,美团被曝光的黑客攻击事件已经引起了社会各界的高度关注。
