微軟再次發出了來自具有深厚背景的黑客組織的網絡攻擊預警,可知問題源于 Java 日志庫的 Log4j2 漏洞(CVE-2021-44228)。這家雷德蒙德科技巨頭指出,世界多地的黑客已開始利用這項更複雜的日志協定技術,來遠端通路受害者的裝置。目前觀察到的大部分攻擊,主要涉及各路人馬的大規模掃描。
據悉,微軟旗下的多個威脅情報團隊 —— 包括 MSTIC 威脅情報中心、 Microsoft 365 Defender 威脅情報團隊、RiskIQ 和 DART 檢測響應團隊 —— 一直在密切關注 Apache Log4j2 的遠端代碼執行(RCE)漏洞。
CVE-2021-44228 漏洞披露公告指出,被稱作“Log4Shell”的漏洞攻擊,往往在 Web 日志請求中包含如下字元串:
$
美國網絡安全和基礎設施安全局(CISA)也證明了微軟的說法,此前該機構同樣通報了 Log4Shell 漏洞的廣泛利用。
CISA 負責人 Jen Easterly 于昨日接受 CNN 采訪時重申,若不迅速采取補救措施,各個聯邦機構的裝置、服務、乃至整個網際網路,都将處于一個相當可怕的境地。
微軟警告稱,Log4j2 的風險源于兩個方面。其一是漏洞可被輕松利用,其二是基于其建構的産品數量 —— 而 Apache Log4j2 就是目前最流行的 Java 日志庫之一。
據悉,日志庫用于為開發者提供有關服務和産品的附加資訊,允許其控制在應用程式執行期間、使用者登入特定服務 / 裝置的錯誤報告,并在遇到功能問題時收集相關資料。
通過日志庫的使用,開發者還可深入了解或收集裝置詳情,包括 CPU 類型 / GPU 型号、驅動程式版本、以及系統記憶體等。
攻擊者會對使用 Log4j2 生成日志的目标系統執行 HTTP 請求,該日志利用 JNDI 向攻擊者控制的站點執行請求,最終導緻被利用的程序通路站點并執行有效負載。
在許多觀察到的案例中,攻擊者往往拿到了 DNS 日志系統的參數,旨在記錄對站點的請求、以對易受攻擊的系統進行指紋識别。
此前已知的一種漏洞利用,涉及微軟旗下的《我的世界》伺服器。攻擊者以聊天框作為中部署的消息内容作為管道,試圖滲透使用者系統并奪得控制權。
事實上,全球許多知名企業都面臨着巨大的風險,其中不乏微軟、Twitter、蘋果、亞馬遜、百度、Cloudflare、網易、Cloudflare 等科技巨頭。
網絡安全公司 Check Point 指出,截至目前,其 GitHub 項目的下載下傳量已經超過 40 萬次。遺憾的是,盡管 Apache 已經釋出了一個修補程式,但各家公司的實施方案不盡相同。
對于數百上千萬的客戶來說,這意味着他們仍将在未來一段時間裡面臨 Log4j 入侵風險,或導緻大量使用者資料暴露于在外。