前段时间,你打开微博热搜或者新浪新闻,会看到这个新闻:

360在自己的官方新闻里高调报道了这件事,并将MC称之为“元宇宙概念游戏”,配合新浪这波宣传,一时间多少新闻站都疯了:




至此,借助《我的世界》庞大的知名度,Apache Log4j2漏洞这一IT圈的超大灾难正式出圈,脚踩MC冲进了大众的视野,手持大旗,上书八个大字:元宇宙的末日到了!

在那之前,先得解决一个问题:Apache Log4j2到底是个啥?
Apache Log4j2是一个基于Java的日志框架,具体的解释字太多了懒得打,而且我估计大家也不爱听,直接说它是一个免费开源的程序基石就完事了。
是的,免费,开源,相对好用,这意味着什么?当然是用爆啊。别说许多小公司,苹果、亚马逊、推特、Steam、百度、网易、腾讯等科技巨头没谁不在用它的。
而这次它出现的这个漏洞,突出一个影响深门槛低,几乎任何一个脚本小子都可以利用它来入侵别的的服务器运行自己的代码,凭借一己之力在补丁打上之前把所有消息灵通的脚本小子拔到了赛博内功第一重天的地步。

问题来了,运用这么广的框架,它的维护人员哪去了?答案是:全靠几个程序员业余期间摸鱼。

事实上,这个项目纯靠几个社畜工作之余用爱发电。

截止到12月11日,这个开源项目一共只有三个人打钱赞助过,项目成员之一的Ralph Goers是这么说的:
“我是这个项目的成员之一,并创建了最初的版本并一直为了它能成为最优秀的JAVA开发框架而努力。我目前进行一份软件构架师的全职工作,不过我做梦都想全职从事开源框架的工作,希望您的支持能实现这件事”

后来发生的事,大家都知道了。

在这次的“零日远程代码执行漏洞”曝光后,支持者人数已经达到了近百人,而且还在持续增长。赵本山说的好啊,汽车撞墙你知道拐啦,股票涨了你知道买啦,鼻涕都流到嘴里你才知道要甩啦?

在IT界,上次发生这种事还是上次,我是说:2014年的“心脏出血”漏洞。
十年前的2011年12月,开源代码库OpenSSL 的心跳扩展作者罗宾·赛格尔曼不小心搞出了一个漏洞,这个漏洞幸运地逃过了审核,正式加入OpenSSL代码库,并随着版本更新和传播在互联网中整整积累了三年。
2014年,这个零日漏洞被披露,五十万台以上的互联网安全网络服务器受到攻击,导致服务器私钥和用户会话cookie及密码被盗,美国第二大私营连锁医院病历大规模泄露,加拿大税务局被直接干碎,影响之深远,搞得两国直接出动了国安局,解决了提出问题的人。

前文提到的“零日漏洞”即为还没有补丁的安全漏洞,在第一个发现者公布这个漏洞到它被堵上之前,所有得知了这个漏洞的程序员都有可能利用这个被公开的漏洞去发起攻击,这种行为也被成为“零日攻击”。
而所有使用了Log4j2框架的JAVA程序都有可能被进行零日攻击,其中自然也包括了《我的世界》。
事实上,Luna Sec 安全研究人员将这个被称作“Log4Shell”的漏洞公布后,第一时间找到的受害者就是《我的世界》,官方也立马作出反应开始更新补丁。
也就是说其实只有Java版1.7.2至Java版1.18的MC用户,在联机游玩MC的时候都有可能被攻击,版本太高太低,或者基岩版都是不受影响的。

至于为什么一个小小的漏洞,最终会变成了“《我的世界》传播了元宇宙末日”的无厘头新闻,这就涉及到另一个问题了——现代媒体的传播性。
虽然大部分公司的报告都开始自12月9日,但实际上阿里云的安全团队早在上11月24号就大张旗鼓地报告了这个漏洞,并且指出该漏洞暂时还没有解决办法。

但是直到10号左右为止,这都只不过是IT界内部的大事件,和非程序员都没什么关系,大部分人甚至许多野生程序员可能都不知道这码事。
直到大家找到了一个与吃瓜路人的交接点——《我的世界》。

MC中文论坛第一时间发出了警示,并转载了了临时修复方案和教程,事实上对于大部分玩家来说,只要正常升级客户端就好了,这个时候很多玩家都已经开始打补丁了。
到这里,大家还处于情绪稳定状态。不过这个漏洞借着MC的大名已经开始在IT圈外传播了。
于是乎,就在12月10号当天,作为国内网络安全巨头之一的360也发布了这项消息,而且成为了各大网安中唯一一个突出《我的世界》的网安公司。
事实证明,公众号,B站,微博这些新媒体平台的宣传效果可太好了,互联网铺天盖地都开始传:不要玩MC!MC现在会被攻击,黑客可以入侵你的电脑植入病毒挖矿!
那么有什么解决办法呢?

老实说,作为有雄厚个人业务的网安公司,写个软文做个营销无可厚非,反正它360的安全保护也不收费对不对?
但是让我们结合前文,如果一个门槛低,危害大,脚本小鬼都能快速掌握的漏洞,一下子出圈到了大众,会发生什么?
当然是,漏洞讨论,源代码分享,还有“请勿用于违法用途”,以及进行一下实操来试图换取关注的UP主。



更别提在这种时候,有个头铁不关服也不打补丁的服务器,让不少还没有搞清事情原委的玩家有了个去处。
还有比这更好的目标么?打开聊天窗口复制粘贴代码,一键卡住你的对手,还在等什么,快来成为网络黑客小能手吧!
最夸张的大概是B站MC区主播KL_qiqi,作为当夜不信邪在该服务器游玩的玩家之一,直接在直播中被人骇入了电脑,打出提示来劝他关游戏下播。

我们着实不太能评价这种行为究竟是正义提醒还是非法骇入,但是不得不说这种操作对于在场的每一位观众都造成了极致的感官冲击,还有什么是主播在直播里当众被黑了电脑更能让人信服的呢?
MC玩家人人自危进一步升级,Log4j2漏洞知名度和可信度超级加倍,越来越多的一般路过MC玩家开始查询相关视频打补丁。
这种情况,当然也少不了狂欢的熊孩子,他们疯狂对着代码复制粘贴,趁着信息差冲进每一个服务器试试还能不能生效。
他们之中的许多人甚至不能被称之为“黑客”,只不过是个突然拿到了武器的孩子,想要去搞点破坏,从而吸引别人的目光。

真正擅长勒索破坏的,早已在零日漏洞时期完成了他们干脆利落的零日攻击;真正应该解决漏洞的,早就在发现漏洞的第二天就发布了补丁;而真正需要作出反应的大型服务器主和运营们,早就在第一时间停服维护并打好了补丁。
当然,不排除有些服做的很拉,是谁我不说。
在大家都第一时间做好自己应做的事情时,已经被解决的问题却带着999ping的延迟开始诱发恐慌,不明真相者奔走相告,投机取巧者试图搞事,成功的用自己的行动给我们展示了要是不补上这个漏洞,世界会变成什么吊样。
不过纵观这件事,最有意思的果然还是元宇宙圈。
360的编辑一句“元宇宙概念游戏”,简直是打开了众多媒体的流量密码。大把媒体抬手就是一句“元宇宙登微博热搜”,通篇不讲原理不说版本,全部资料来自某公众号信息删减版,不知道的还以为哪位元宇宙概念鼻祖创业未半而中道崩殂了似的。

360董事长周鸿祎对元宇宙的发言也被大家利用了起来,疯狂转载那句:
“其中最怕的是脑机接口,很多人为了追求元宇宙的虚拟化,都愿意把大脑直接连上电极连到元宇宙,未来可能还得保护人的大脑,随着这个世界的数字化越来越激进,其实对安全的依赖会越来越大。”

最终,IT界和网络安全界早早收工开始排查其他漏洞,而媒体和小鬼则在反复的互联网信息排泄链中尽情狂欢,不出一周,真正手贱的小鬼会被JC叔叔敲响大门,写元宇宙的媒体会转向下一个热点,只留下一地鸡毛被众多服务器静静的记录下来。
截止今日,又有两个全新的Log4j2漏洞被找到和填补,零日攻击的窗口愈发短暂,却又不断出现,只不过此时关注着他们的,早已不止是网安人员和那群专业黑客了。
还是及时更新你的游戏客户端吧。