根據安全研究人員的說法,在Java日志記錄庫Apache Log4j中檢測到的0day漏洞可能導緻伺服器完全被接管,并使無數應用程式容易受到攻擊,該漏洞首先在遊戲Minecraft中被檢測到。
根據CERT New Zealand的一份公告,未經身份驗證的遠端執行代碼漏洞 ( 歸類為嚴重漏洞并跟蹤為CVE-2021-44228)正在被積極利用,并且已釋出概念驗證代碼。
CERT NZ表示,在2.0和2.14.1版本之間使用Java日志記錄庫Apache Log4j的系統和服務(包括許多用Java編寫的應用程式和服務")容易受到攻擊。
為了防止被攻擊,他們緊急建議使用者将Log4j版本更新到Log4j-2.15.0-rc2。
在周五釋出的警報中,美國網絡安全和基礎設施安全局表示,鼓勵使用者和管理者檢視Apache Log4j 2.15.0公告并更新到Log4j 2.15.0或立即應用建議的緩解措施。
該漏洞最初是在遊戲Minecraft中發現的,但雲應用程式(包括在整個企業中廣泛使用的應用程式)也仍然容易受到攻擊。這包括來自Apple,Amazon,Cloudflare,Twitter和Steam的軟體,網絡應用程式和産品。
"這是一個最糟糕的情況,"安全公司Bugcrowd的首席技術官創始人Casey Ellis說,"對很多人來說,這将是一個漫長的周末。”
據Cyber Kendra稱,阿裡雲的安全團隊于11月24日首次向Apache報告了該漏洞。
安全公司Randori的專家表示,該漏洞可能會影響"數千個組織",并對受影響的系統構成重大的現實風險。
前白宮國土安全顧問、現任國家安全局網絡安全局局長羅布·喬伊斯(Rob Joyce)在Twitter上談到了Log4j,他說:"由于軟體架構被廣泛使用,甚至國家安全局的GHIDRA(一種開源逆向工程工具),也是一個重大的威脅。”
LunaSec首席執行官Free Wortley和開發人員Chris Thompson在一篇部落格文章中表示,類似的漏洞以前曾被利用過,例如2017年Equifax資料洩露事件,該事件暴露了大約1.43億美國消費者的敏感資訊。
"實際上,任何允許遠端連接配接使用Log4j庫的應用程式,用到寫入日志檔案的任意資料的場景都容易受到利用,"Randori攻擊團隊說。
Huntress公司的進階安全研究員John Hammond在部落格中說:"log4j軟體包可能與任何給定供應商提供的您使用的軟體捆綁在一起。不幸的是,在這種情況下,供應商本身需要将安全更新推向下遊。
這個漏洞沒有明顯的目标,根據通路控制和安全态勢的其他因素,這可能會導緻企業未來的妥協 - 無論是加密貨币礦工,還是勒索軟體的受害者。
這個可怕的警告也作為一個例子,說明檢測和響應能力的重要性,并暴露了嵌入在傳統安全計劃政策的風險,美國空軍前網絡和安全技術經理Tim Wade說,他目前是Vectra AI公司的技術總監。
Hammond 說:"在評估自己的風險和威脅模型時,請考慮你使用的軟體的元件,尤其是可以公開通路的元件。
原文轉自databreachtoday,作者Dan Gunderman,超級科技譯,合作站點轉載請注明出處和原文譯者為超級科技!
Hi,我是超級科技
超級科技是資訊安全專家,能無上限防禦DDos攻擊和CC攻擊,阿裡雲戰略合作夥伴!