12月22日上午，一則阿里云被暫停其工信部網絡安全威脅信息共享平臺合作單位身份，為期6個月的消息，在網上瘋傳。

據工業和信息化部網絡安全管理局通報稱，阿里云因在發現阿帕奇Log4j2組件重大安全漏洞后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。被暫停其工信部網絡安全威脅信息共享平臺合作單位身份，為期6個月。

網絡安全管理局表示，暫停期滿后，根據阿里云公司整改情況，研究恢復其上述合作單位。

自12月9日夜間Log4j 2漏洞發現以來，受到業內外的極大關注，一位網友表示，“以前不關注網絡安全領域都對這一漏洞有所了解。”

一位安全專家表示:“從Log4j2漏洞披露以來，基本上震動全民，不管是安全從業者，還是安全愛好者抑或是做黑產、做勒索的黑客，基本上徹夜不眠，行動不斷。"

眾所周知，Apache Log4j是被全球廣泛應用的組件，其漏洞影響范圍波及全球堪比“永恒之藍”漏洞，利用復雜度低，一旦利用成功，可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，造成的危害和損失不可預估。

據相關媒體報道稱，比利時國防部網絡最近受到不明攻擊者的成功攻擊，攻擊者利用Apache日志庫log4j的巨大漏洞實施攻擊。

不僅是政府，還有企業也是攻擊的對象，只要使用JAVA開發的基本上都會受到影響。同時個人用戶受到攻擊的案例也已經出現?！段业氖澜纭稪AVA版游戲前幾天被監測出大量黑客利用Apache Log4j 2漏洞攻擊個人用戶。

Log4j 2影響的后果逐漸顯現。

1.阿里云被“以身試法”了嗎?

一位業內人士表示：“按照業內漏洞披露的周期，整個流程應該是，先報給廠商，廠商根據漏洞影響度，在相應的時間提供一個解決方案，然后10天、 45 天或者 90 天，然后廠家提供了解決方案以后，才會出一個漏洞通告。”

這次Log4j 2漏洞的特殊就在于它本身是一個開源的軟件。沒有給修復時間就被瘋狂轉發，因為開源軟件修復代碼是公開的，而修復代碼里面一部分就是測試代碼，而測試代碼就是用來檢查修復是否正確，整個過程相當于是公開的，基本上就等于公開了漏洞原理和攻擊方式。

自阿里云12月9日將漏洞報告給Apache，Log4j 2漏洞也開始逐漸發酵。

而自2021年9月1日正式施行的《網絡產品安全漏洞管理規定》：不得在網絡產品提供者提供網絡產品安全漏洞修補措施之前發布漏洞信息。認為有必要提前發布的，應當與相關網絡產品提供者共同評估協商，并向工業和信息化部、公安部報告，由工業和信息化部、公安部組織評估后進行發布。

同時該規定明確相關企業要接受至少4家的管理檢查，分別是 國家互聯網信息辦公室、工業和信息化部、公安部和有關行業主管部門;同時企業應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。

《網絡產品安全漏洞管理規定》第三條規定 國家互聯網信息辦公室負責統籌協調網絡產品安全漏洞管理工作。工業和信息化部負責網絡產品安全漏洞綜合管理，承擔電信和互聯網行業網絡產品安全漏洞監督管理。公安部負責網絡產品安全漏洞監督管理，依法打擊利用網絡產品安全漏洞實施的違法犯罪活動。有關主管部門加強跨部門協同配合，實現網絡產品安全漏洞信息實時共享，對重大網絡產品安全漏洞風險開展聯合評估和處置。

據了解，12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。工信部立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。

2.Log4j 2漏洞，三步攻陷任何設備

Log4j 2是近十年來可以排到top3的漏洞，影響面極廣，包括大部分線上業務、我們平時使用的網站以及有網絡外聯功能的硬件產品。

目前來看一些勒索病毒、挖礦等都已經開始有所動作了，其中PoC攻擊方式也已經在互聯網出現，雖然一些安全廠商也已經及時響應，做出一些監測方案和修復方案，但是絕大部分網站還是會受到影響，只是目前評估起來比較困難。

對于企業來說即便受到攻擊，也只能打碎牙往肚子里咽。沒有受到攻擊的企業或更新版本或找安全廠商找補漏洞。

據雷峰網(公眾號：雷峰網)了解，此次log4j 2的攻擊門檻非常低，不需要任何特殊配置，只要默認配置就可以，因為攻擊代碼可以嵌入開發人員最常用的函數中，直接控制目標服務器。

log4j 是一個日志組件，用來記錄日志的。一般來說，一個網站或者一個桌面軟件的日志組件是在整個軟件組件結構中的。而 log4j 恰恰是 Java 中，同時slf4j也是Java 中的，以往這兩個日志組件的漏洞加起來都沒有超過兩位數，而且攻擊也得滿足很多配置，不容易成功。

那么我們來還原一下利用log4j漏洞整個實現的過程，為什么很容易實現。

• 第一步：攻擊者通過掃描器或者其他批量腳本等手段，發送大量請求，確定了攻擊入口。
• 第二步：發一段JNDI 代碼，引導受害者向惡意服務器發送請求，接著惡意服務器會返回一堆代碼。
• 第三步：再發送攻擊代碼，讓受害者請求惡意服務器請求，這中間發的東西不一樣，第二次惡意服務器返回給受害者的代碼，就能實現管理者控制受害者的目的。

事實上，只要你在網站上的一切操作，日志就像一個監視器一樣，記錄你的一切操作。不管是鍵盤輸入、鼠標點擊亦或是網站代碼的變化，電腦上的軟件以及網站都會被記錄在數據庫中，一旦攻擊者給你發送消息，那么你的所有數據都將泄露。

一些廠家表示，只要切斷其中一條鏈路就可以防止攻擊，也可以通過升級新版本來避免漏洞，但是部分企業反映如果升級會對業務造成影響，甚至崩潰，只能使用網絡安全廠家的解決方案。

2021年的最后一個月可謂是網絡安全圈的驚心動魄。而此次Log4j2漏洞非常值得思考，要知道漏洞挖掘的難度、技術含量跟漏洞利用、漏洞影響并非一個概念。

本文轉自雷鋒網，如需轉載請至雷鋒網官網申請授權。