宇宙的尽头未必是铁岭漏洞的尽头却肯定是挖矿和勒索

可对于不看脱口秀的人来说,比如我的三舅姥爷,宇宙的尽头也许就是村口的麻将桌。

所有的安全漏洞,不管你知不知道、爱它还是骂它,它一定沿着变现效率最高的轨道飞奔。

就今年的情况来看,所有漏洞的归宿,不是用你的服务器挖矿,就是成为勒索病毒的一部分。

作为一个专门写安全的作者,我非常不喜欢把一个病毒写的非常浪漫,什么“史上最强”、“核弹级”,病毒就是病毒,没有善良的病毒。

log4j 2在写日志的时候,对于输入的特殊字符没有进行检查,如果输入的字符恰好跟内部命令一致,那普通用户输入的特殊符号,也可以得到服务器的执行。

比如,有人在百度搜索框搜“${”打头的词,就可以入侵服务器。当然,他们当天就修复了。下图是修复之后的页面:

12月10号,好多公司的服务器都存在这个漏洞,聊天框、搜索框、游戏中的聊天框……等等地方都有奇怪的东西被输入……

百度搜索,苹果iCloud,微软“我的世界”游戏等等,先后都被发现有问题。

因为漏洞出现在log4j的第二个版本上,于是,大家都把这个漏洞叫做log4j2。

一旦它被广泛运用,出现了安全问题,则修复的成本,以及黑客带来的损失,则数万倍、数百万倍的高于他自身的成本。

2021年5月,美国油气管道运营商、科洛尼尔公司遭到勒索病毒攻击,为了尽快恢复正常,公司支付了价值230万美元的比特币(后又被追回)

12月11日,360安全大脑监测到有黑客利用Log4j 2漏洞对Minecraft(游戏名称“我的世界”)Java版发起大规模攻击,最高峰时段每小时有超过10000个玩家遭到了攻击.

13日,深信服300454股吧)监测到tellyouthepass勒索病毒,正在利用log4j2漏洞进行攻击,而且遭到攻击的都是某OA系统。(sima注:我怀疑是该OA系统集成了log4j2软件模块)目前看到的是该病毒可以攻击linux和windows双系统的服务器,暂未发现局域网内横向传播的功能。

无论针对服务器,还是针对个人用户,最利于变现的就是“加密敏感数据后索取赎金”,因此,目前看到利用该漏洞进行攻击的病毒和黑客,要么是入侵服务器后加密数据,进而勒索;要么是入侵后释放恶意代码,用来挖矿(利用服务器的计算资源挖虚拟币)。

这样,就出现一个悖论:越穷的开源项目,被利用的越广泛,如果出现漏洞,则可能带来越大的损失。

每次出现这种大型的病毒、漏洞、安全事件,对于业内都是一种另类的狂欢;对于业外,却是难得的安全教育机会。

1、应用越广泛的软件,理应带来越大的商业价值,为什么你认为可以永远免费用下去?

2、那些使用log4j软件的大公司,他们为作者捐助了吗?如果没有,为什么?

3、到底是什么支撑着数万亿美金的高科技产业,是合理付费还是忠于梦想?如果微软这样的商业软件出现类似漏洞,你猜会不会出现这么严重的问题?

4、如果有最终用户因为该漏洞受害而支付赎金,原因是某公司的云服务使用了带有漏洞的插件,该用户应不应该索赔,该向谁索赔?

发表评论

您的电子邮箱地址不会被公开。