剛過去的這個周末,程式員們忙壞了。
所有人都在加班加點修補同一個漏洞。
Apache Log4j是一個基于Java的日志記錄元件。Apache Log4j2是Log4j的更新版本,通過重寫Log4j引入了豐富的功能特性。該日志元件被廣泛應用于業務系統開發,用以記錄程式輸入輸出日志資訊。
2021年11月24日,阿裡雲安全團隊向Apache官方報告了Apache Log4j2遠端代碼執行漏洞。由于Log4j2元件在處理程式日志記錄時存在JNDI注入缺陷,未經授權的攻擊者利用該漏洞,可向目标伺服器發送精心構造的惡意資料,觸發Log4j2元件解析缺陷,實作目标伺服器的任意代碼執行,獲得目标伺服器權限。
CNVD對該漏洞的綜合評級為“高危”。
這是國家網際網路應急中心對這個漏洞的介紹。
也許這個描述對非程式員的人群來說,仍顯複雜。若簡單“翻譯”,就是這個漏洞意味着隻需要一個字元串,無需密碼或認證,就可以通路任何使用Log4j2這個Java庫的伺服器,甚至直接在裡面運作自己的代碼。
某種程度上就相當于任何人都可以拿到一個萬能鑰匙,進入使用Log4j2的任意一戶“人家”,然後想做什麼能做什麼就全看“小偷”的發揮了。
問題的嚴重性已經很明顯。這個漏洞很快被冠以“核彈級漏洞“、“現代計算機史上最大漏洞”等稱号,原因就在于,Log4j2這個Java庫實在太流行。
“幾乎所有你能想到的網際網路公司,都有在使用它”。
而且,這個漏洞還是一個“零日漏洞”。也就是說發現漏洞的同時,利用這個漏洞的攻擊就已經在發生了。與那些漏洞已經有了更新檔後才出現的黑客攻擊相比,這種零日漏洞帶來的攻擊的手法和帶來的危害的可能性都是未知的,這讓防禦者處在明處,而攻擊者卻在暗處且看得清你的一舉一動。
如應急中心所說,漏洞最早在11月底就已經送出給官方。但修補尚未出現時,事情先變得嚴重起來——《我的世界》這款最流行的遊戲之一,在12月9日遭受了利用這個漏洞的大規模攻擊,這款微軟旗下的遊戲,不少伺服器直接關閉。
更多的開發者意識到問題嚴重:蘋果、亞馬遜、Steam、騰訊,Github上60644個開源項目的321094個軟體包,都在這個名單裡。
而且據Apache方面表示,Log4j2作為一個開源元件被用在不同的系統中,使它根本無法追蹤到底有多少代碼裡使用了它。
所有網際網路公司都慌了。上周五開始,“幾乎所有程式員都在修Log4j2”。
而根據漏洞相關資訊開始進行的“攻擊”也瞬間猛增。有網際網路安全機構記錄到12月10日當天開始的海量攻擊,其中除了惡意的黑客行為,也有很多是來自試圖進一步了解這個漏洞對自己以及一些知名公司安全性影響的“研究”。不少人在百度、谷歌等最基礎的服務的登陸或搜尋框裡輸入相關的漏洞字元希望一窺究竟。
這個漏洞的特性意味着,它就像一個夾子,你可以用它掀起一些公司平日遮蔽的較為嚴實的蓋頭,看看裡面——于是,在更加影響惡劣的資料洩露事件尚未發生時,一些意想不到的“次生災害”卻更早到來。
就在安全圈為之沸騰,讨論如何快速修複,以及不停測試哪些公司在受到影響時,一次針對特斯拉的測試卻帶出了意想不到的新問題。
12月13日,一名網際網路安全人士在微網誌上公布了幾張截圖。并配上文字:
特斯拉還是把資料傳回美國了嘛。
根據這些截圖,這名釋出者對這個漏洞在特斯拉移動端App上進行了測試,而特斯拉伺服器的IP位址很快被暴露出來,拿着這些IP位址一查,結果顯示這些伺服器歸屬美國。
“所有中國業務所産生的所有資料完全存儲在中國境内”——特斯拉CEO伊隆· 馬斯克今年9月曾經言之鑿鑿,但似乎被這個漏洞掀起的一角将了一軍。
那麼這幾張截圖說明了什麼呢?
讓我們把這個測試簡化到大部分人都可以了解的程度。(這其中可能會喪失一些嚴謹性——比如下面會提到的“打開網頁”,其實是對于dns解析的簡單化解釋——但能夠更直覺的了解這個操作的過程)。
要做這個測試,首先需要一個dnslog.cn或ceye.io這樣的網站。這個網站提供兩個功能,一是生成二級域名,也就是網址。二是當你把這個網址發給别人,對方用手機或電腦等裝置打開了這個網址,你都能在這個網站上得到回報,最基本的資訊包括了打開時間以及IP位址。
理論上,這個“别人”可以是你隔壁領居,也可以是特斯拉,但是一般來說特斯拉的伺服器是沒道理點開你發的位址的,除非你能讓他不得不點開。而Log4j2的漏洞正是危險在此。當把這個特定的測試語句加進網址,在代碼裡使用了Log4j2元件的特斯拉軟體系統,就會“不由自主”自動打開它,然後這些痕迹會回到發送者這裡。
通過這個辦法,同樣可以測試蘋果或者亞馬遜以及其他任何網站有沒有漏洞。做個比喻:
我面前有3個小孩(即三家不同公司),分别标記為 A、B、C,每人手裡有一根火柴,有兩根火柴受潮了不能使用,有一根是正常的可以被點燃(可燃即代表有漏洞)。為了驗證誰的火柴是可燃的(即為了驗證哪個公司有漏洞),我找了3枚鞭炮,分别标記為a、b、c 。
a給小孩A,b給B,c給C,讓他們去點鞭炮。
過了一會,鞭炮響了,湊近一看,殘渣碎屑上看出是b鞭炮,那麼就證明小朋友B手中的火柴是可燃的(有漏洞的)。
如前所述,在這個漏洞得到廣泛重視後,大量這樣的放鞭炮行為開始發生。而這個微網誌所記錄的也是一次類似的測試。但這個測試不僅顯示特斯拉存在漏洞,真的打開了一個這樣的“釣魚”網址,而且它是以暴露的伺服器位址,也揭露了更多資訊:
當這名測試者把自己在中國境内登陸特斯拉系統而得到的IP位址,放在whatsmyip(一個IP查詢網站)上一搜,IP位址顯示的ASN歸屬地卻在美國境内。包括華盛頓、紐澤西和愛荷華。
其中一個IP位址顯示關聯到華盛頓。
頓時一片嘩然。
特斯拉App對于這款智能電動汽車的重要性不言而喻。
特斯拉車主很多時候就是在依靠移動端App管理自己的用車。去年5月,國内曾有多位車主表示由于特斯拉App出現大面積當機,導緻手機無法關聯上車輛,進而導緻手機鑰匙失效,車輛資訊無法擷取,車内的中控屏和儀表盤是以無法激活的狀态。
包括行駛和購買行為在内,中國特斯拉車主的個人資訊幾乎都被錄入在移動端的App上。在今年10月更新了哨兵模式後,手機端已經可以實時檢視汽車攝像頭内容。特斯拉當時對此的聲明是,實時攝像頭将會是端對端加密的,特斯拉無法通路。
內建了包括實時車内内容在内的移動端App無疑是一個越發敏感的零件。大量中國車主的敏感資訊積累在移動端App中。而現在,這些截圖顯示,App所連接配接的伺服器卻指向了美國。
不過,就在這個微網誌下面,許多不同的解讀也在出現。這個資訊能說明的資料安全的嚴重性并沒有達到“共識”。尤其作為聰明人聚集的經常針鋒相對的計算機安全領域,對于這個結論,不同人給出不同的了解。
有人稱,這隻是一種正常操作。“不一定是傳輸資料,可能是調了某個接口。”有人評論。
一位資料安全人士舉了個更通俗的例子:
“比如,騰訊要統計全球有多少QQ使用者同時線上,這時候,也會統計到美國使用者的對嗎?但這時候從美國傳到中國的,其實隻是個統計的線上人數,不涉及使用者個人資訊。此時你說中國的騰訊公司是在收集美國資料嗎,你說是也行,說不是也沒錯。”
具體到特斯拉,或者蘋果以及其他相似狀況的公司,他是僅僅調用了一下美國伺服器上的服務接口,還是真的有使用者個人資訊的傳輸,也成了判斷這些資訊流動行為是否合适的關鍵。
“這不能證明其他個人資訊,比如通訊錄、短信、照片等,也傳到了美國。并且對方采集個人資訊是否是加密傳輸及存儲,是否符合相關法規的資料安全生命周期處置規範,這些都不是依據目前資訊可以判斷的。”有安全從業者表示。
除此之外,伺服器位址和資料庫位址并不一定在同地。
由于跨海溝通會增加延時,公司一般不會這麼做,但如果沒有即時通信需求——比如資料備份——伺服器和資料庫被放置在兩個國家的可能性是存在的,另一位開發者表示。
顯然,大家對此十分謹慎。不過,一個事實是,從這些截圖和操作來看,一個包含域名的漏洞測試語句,的确從中國傳回了美國伺服器。一名認證為螞蟻進階安全專家的部落客表示,從這個截圖來看,别的資料不知道,但車輛的名稱資料是肯定傳回了美國。
不遠萬裡把車主的車名資料傳回美國,這背後不知道是出于什麼考慮。
這顯然又讓特斯拉中國陷入一個十分敏感又令人困惑的境遇。一次針對漏洞的測試卻再次讓人們意識到,特斯拉和特斯拉中國所宣稱的資料留存在中國究竟執行的如何、究竟哪些資料依然需要去美國轉一圈、以及它們會以什麼形式轉一圈?可能至今就連特斯拉中國車主們也不清楚。
在2021年11月已經正式生效的個人資訊保護法裡,這樣規定:
第三十九條 個人資訊處理者向中華人民共和國境外提供個人資訊的,應當向個人告知境外接收方的名稱或者姓名、聯系方式、處理目的、處理方式、個人資訊的種類以及個人向境外接收方行使本法規定權利的方式和程式等事項,并取得個人的單獨同意。
除此之外,也有不少開發者表示,這個在12月13日釋出的測試也說明,在全世界都在10日就開始加班加點急着補上這個漏洞的時候,特斯拉似乎直到13日也還沒開始處理這個漏洞。有國外媒體引述知名機構Fortress Information Security相關負責人稱,整個網際網路對于這個漏洞的修複工作遠未結束。
“但看看月曆表,兩周後是什麼,聖誕假期”。
12月14日,馬斯克帶着他的兒子參加《時代》舉辦的慶祝活動。此前他被《時代》選為今年的年度人物。
“由于Apache Log4j2在架構元件和軟硬體産品二次開發中應用較為廣泛,CNVD平台建議各廠商機關對開發的軟硬體産品和服務進行積極自查,重點檢查對Apache Apache Log4j2元件的引用情況,若發現受此漏洞影響的請立即修複,并通知産品使用者及時更新。”12月13日,國家網際網路應急中心也釋出公告,建議廠商及時自查并通知使用者。
這個漏洞帶來的混亂還會持續一段時間。可能會有更多的“次生”資訊因它而披露。而在此需要提醒的是,有網際網路安全相關人士表示,不建議大家拿着這段漏洞代碼去各大網站上随便嘗試,因為這可能帶來不必要的糟糕的影響,進而讓操作者自己也惹上風險。
· 文章版權歸品玩所有,未經授權不得轉載。
· 發送關鍵詞 轉載、合作、招聘 到品玩微信公衆号,獲得相應資訊。
· 您亦可在微網誌、知乎、今日頭條、百家号上關注我們。