当前位置:首页 > 风铃湾 > 正文内容

火线安全:Log4j2 史诗级漏洞波及全球 6万+开源软件

jinxijing5个月前 (12-13)风铃湾265

流行度超高的 Java 日志框架 Log4j2 ,被曝出了一个惊天大漏洞,国内很多软件企业都受到了影响,紧急修复漏洞。

而就在今天,这个漏洞也影响到了元宇宙,"我的世界" 作为一款火爆全球的元宇宙概念游戏备受瞩目,却被黑客盯上了。被盯上的原因正好是开源项目 Apache Log4j 2 的漏洞被黑客利用,引发元宇宙概念游戏 "Minecraft 我的世界" 数十万用户被入侵。

因触发简单、攻击难度低、影响人群广泛,被称为 "史诗级" 高危漏洞,服务器业务(Steam、iCloud、Minecraft 等)被严重影响。

据统计,该漏洞影响6万+流行开源软件,影响70%以上的企业线上业务系统!软件在官方发布漏洞修复补丁后依旧被黑客多次绕过,几乎所有的互联网大厂都在通宵加急处理漏洞,避免造成黑客攻击事件,没想到道高一尺魔高一丈,刚修复完又马上被黑客绕过。

近些年,重大威胁漏洞频现:

2014年,心脏滴血漏洞让世界上 2/3的网站心脏滴血

2017年,永恒之蓝漏洞让数百万台主机面临被勒索病毒攻击的风险

2021年,Log4j2 的漏洞再一次影响了互联网上70%以上的企业系统

毫无疑问,这些重大漏洞都使得互联网企业及其应用的用户绷紧了弦。

昨天我发了相关文章之后,有朋友就留言问我了,怎么检查我们的项目有高危漏洞呢?又该如何修复呢?我在文章当中并没有介绍。

当然了,那是我的错,考虑的不周全。

不过,说巧不巧的,我想说:今天我在火线安全的朋友,正好他们今天开发了一套漏洞影响面查询系统,可以帮助大家查询漏洞的影响情况。

01对开源软件的致命打击

火线安全团队对 Log4j2 及受影响的开源组件进行全面分析后,对该漏洞的危害性感到震惊。Java ORM 中的 MyBatis、Hibernate 等组件均受到影响,而 Java 应用中,对数据库的操作基本上都是通过 ORM 进行的,因此只要是涉及到数据库操作的应用,都存在被攻击的风险,危害十分重大。

经过对 Maven 官方仓库的分析,我们发现像 Java ORM 一样的基础组件中,存在被攻击风险的高达十几万个,影响几百万个组件的版本。由于篇幅原因,本文将通过不同的维度对存在风险的组件进行展示。

目前我们仍在继续对数据进行整理分析,据不完全统计,在 Github 上,共有60644个开源项目发布的321094软件包存在风险,影响众多主流开源基金会的著名项目。

在目前数据中,Star 数量 Top 10 为:

Apache 基金会下的开源项目中,受到 Log4j2 漏洞影响的 Top 10 如下:

Java 开发框架中,受到 Log4j2 的影响的 Top 10 如下:

以上数据均来源于火线安全提供的 Apache Log4j2 漏洞影响面查询系统:https://log4j2.huoxian.cn。

02技术实现

Log4j2 通常作为 Maven/Gradle 项目的组件依赖,被引入项目中,用于打印日志。在本次排查过程中,我们分析了 Maven 官方仓库的全部数据,根据直接引用、间接引用等多种关系,对数据进行关联分析,最终梳理出全量的受 Log4j2 影响的组件数据;

然后将受影响的组件与 Github 中的开源项目进行关联分析,找到每个组件对应的开源项目及项目的信息。

03技术支持

鉴于修复漏洞的紧迫性,火线安全将为所有企业提供免费且强大的技术支持。可通过:https://log4j2.huoxian.cn进行在线排查或添加火线小助手的微信,获取火线安全免费的绝对防御解决方案,火线安全专家全程技术支持。

关于火线安全

火线安全是基于社区的云安全公司,主要运营洞态IAST和火线安全平台。通过自主研发的自动化测试工具和海量的白帽安全专家,助力企业解决应用生命全周期的安全风险。"洞态"是全球首个开源IAST产品,专注于 DevSecOps,帮助企业发现并解决应用上线前的安全风险。"火线安全平台"是全球首个社区原生的安全众测平台,注册有近万名白帽安全专家,为企业提供可信的安全众测服务。火线的安全产品与理念赢得了来自全球著名技术领袖陆奇博士、经纬中国、五源资本的投资,代表客户包括字节跳动、美团、百度、中国电信、中国银行、中石化等多家互联网大厂与国企。

火线安全平台官网:huoxian.cn

洞态官网:dongtai.io

扫描二维码推送至手机访问。

版权声明:本文选自网络,不代表本站观点。

本文链接:https://jinxijing.com/index.php/post/609.html

标签: 火线Log4j2
分享给朋友:

相关文章

台湾日月潭九蛙叠像:九只大青蛙齐齐露出水面,究竟是几个意思?

台湾日月潭九蛙叠像:九只大青蛙齐齐露出水面,究竟是几个意思?

这两天媒体报道台湾大旱,就连著名的日月潭,也因为旱情严重,水位持续下降。本应潜伏在潭水里的"九蛙叠像",也全部露出水面。一个驮一个、层层叠起的九只大青蛙,这是几个意思,它们到底是啥来路?好多小伙伴都认为"九蛙叠...

完美世界扔下一枚“核弹”:发布近三十款重磅新游及IP

完美世界扔下一枚“核弹”:发布近三十款重磅新游及IP

4月13日,以"游戏,连接更大的世界"为主题,2021完美世界游戏战略发布会于北京国家会议中心召开。本次发布会完美世界游戏公布了近三十款多元化重磅新品,宣布与五大IP建立合作,并协同多个全新计划同步上线。4月7日完美世界...

目前最受欢迎的5款国产平板电脑,性价比高,实用性强,颜值爆表

目前最受欢迎的5款国产平板电脑,性价比高,实用性强,颜值爆表

我身边的朋友大部分都喜欢用国产平板电脑,今天就给大家推荐5款性价比高,实用性强,颜值爆表的国产平板,它们在各大电商平台也都处于最受欢迎的机型中。这些机型能长时间能处于火爆销售状态,说明它们都是经得起时间考验的好平板。第一款:荣耀平板V6荣耀...

这类城市,全面取消落户限制

这类城市,全面取消落户限制

国家发展改革委关于印发《2021年新型城镇化和城乡融合发展重点任务》的通知近日正式发布,其中明确,城区常住人口300万以下城市落实全面取消落户限制政策,实行积分落户政策的城市确保社保缴纳年限和居住年限分数占主要比例。来源:国家发改委网站、人...

伊朗核设施再次发生爆炸,伊朗外交部发言人:可能导致全体人类的悲剧

伊朗核设施再次发生爆炸,伊朗外交部发言人:可能导致全体人类的悲剧

据外媒报道,伊朗外交部发言人哈提卜扎德就伊朗纳坦兹核设施遇袭一事发表声明。哈提卜扎德表示,此次袭击行动是核恐怖主义,可能导致全体人类的悲剧,因此可以被视为反人类罪行。中东媒体称,这是过去一年里国际媒体报道的以色列对纳坦兹核设施的第二次袭击。...

女神刘太阳,130斤却拥有完美腰臀比,魔鬼身材让人羡慕

女神刘太阳,130斤却拥有完美腰臀比,魔鬼身材让人羡慕

随着健身成为一种潮流,越来越多的美女对自己的身材有了更高的要求,不再满足仅仅以瘦为美的身材了,继而追求更加有型,更加充满力量,更加有曲线的身材!因此涌现了很多得到认可的健身达人!今天给大家介绍一些最近特别火的健身女神!她的名字叫做刘太阳,1...

女网红!CEO! 富二代!65页PPT!这个瓜什么姿势才能吃好?

女网红!CEO! 富二代!65页PPT!这个瓜什么姿势才能吃好?

是CEO 男友不香了还是富二代含金量太足了?竟然瞒着同居两年的正牌CEO男友跟富二代订婚了,大闹订婚现场,65页PPT的实锤,声泪控诉!你没看错这个是不是琼瑶奶奶的年度大剧,这是刚刚发生的还热乎的狗血肆虐的高端玩家实操案例!    女主照片...