Log4j一直存在一些漏洞,但没有这次这么严重,波及的面这么广。
据Cyber Kendra称, Log4Shell(代号称为CVE-2021-44228) 漏洞于 11 月 24 日由中国的阿里云安全团队首次报告给 Apache 。
安全公司 Randori 的专家表示,该漏洞可能会影响“数千个组织”,并“对受影响的系统构成重大的现实世界风险”,包括网络犯罪分子和民族国家行为者的关注。
专家们认为的普遍性以及容易被利用,这个 Log4j (Apache Log4j)中的远程代码执行漏洞是十年来最严重的一个,可能需要数月甚至数年时间才能得到妥善解决。
美国前白宫国土安全顾问、现任国家安全局网络安全主管 Rob Joyce就 Log4j在 Twitter 上表示:“这个漏洞是一个重大的漏洞利用威胁,因为它广泛包含在软件框架中,甚至NSA 的 GHIDRA [开源逆向工程工具]。这是一个案例研究,说明为什么软件物料清单 (SBOM) 概念对于理解与暴露如此重要。”
McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示称,Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。
Povolny 表示:“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益...... 进一步的利用似乎已经转向盗窃私人信息。可以预见,这种攻击即将会发生演变”。
Povolny 补充说,该漏洞的影响可能是巨大的,因为它是“可蠕虫式的,可以建立自己的传播”。即使有了补丁,也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大,Povolny 说“可以假定许多组织已经被攻破”,并需要采取事件响应措施。
Povolny 说:“我们相信 log4shell 漏洞将持续数月甚至数年,随着补丁越来越多地推出,在未来几天和几周内将会大幅减少”。
自12月9日以来,Sophos 高级威胁研究员 Sean Gallagher 说,使用该漏洞的攻击从试图安装硬币矿工--包括Kinsing矿工僵尸网络正演变为更复杂的努力。
Gallagher 表示:“最近的情报显示,攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害者网络中安装远程访问工具,可能是Cobalt Strike,这是许多勒索软件攻击中的一个关键工具”。
"这个漏洞的可怕之处在于: 首先,它真的很容易被利用;攻击者所要做的就是把一些特殊的文本粘贴到应用程序的各个部分,然后等待结果。 其次,很难知道什么是受影响的,什么是不受影响的;该漏洞位于与许多其他软件包捆绑在一起的核心库中,这也使修复变得更加复杂。 第三,你的许多第三方供应商很可能受到影响。"
Log4j的发展将会不断演变和持续,我们也会根据情况解释更多技术细节。
本文为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。