其他
核弹级漏洞公开,昨晚你睡着了么?
昨晚堪称安全圈年会,整个微信朋友圈都在关注一件事,那就是 Apache Log4j2 的远程代码执行漏洞,漏洞原理已经有大佬昨晚分析,简单总结一下,在打印日志时,如果发现日志内容中包含关键词 ${,那么这个里面包含的内容会当做变量来进行替换,导致攻击者可以任意执行命令。
具体的 payload 已经公开,大量网站存在这个问题,比如百度:
比如 ICloud:
比如 3389(这个纯属开玩笑,哈哈):
比如写在纸上触发漏洞(这个就更离谱):
当然,遇到这种漏洞,最开心的就是白帽子了,又到了刷漏洞的时候,批量刷洞,批量交洞,开心的不行,而晚上睡不着觉的不仅仅是开心的白帽子,还有忧心忡忡的甲方安全应急人员,研究漏洞,加规则,提修复方案,根据紧急程度,催促开发人员修漏洞,又是一场世纪大战,安全与开发之间的爱恨情仇。
对于安全人员来说,过去的漏洞将不再被重视,而新来的一定是香饽饽:
而白帽子正准备大张旗鼓的刷漏洞提交之时,甲方 SRC 老板已经做好了准备不收漏洞,毕竟这个漏洞大家都已知,为了减少不必要的支出,需要白帽子给一定的时间来进行修复,毕竟大家都有预算,上面的老板看着呢,比如京东大哥的紧急通告:
所以说,安全还是得靠漏洞来体现价值,没有开发人员写漏洞,安全人员也不会时不时过个年不是吗?本文也就让大家缓解一下紧张气氛,看完之后,该推动修漏洞的修漏洞,该加 waf 规则的加规则,该应急的应急,接下来的日子,注定不那么平凡,所有安全从业者们,大家一起加油,将漏洞消灭干净。
最后不得不提一下,昨晚最忙的可能不是安全从业者,而是 dnslog,哈哈!