既然Log4Shell cat 已經不存在了,研究人員正在試驗該漏洞可以在野外使用的所有不同方式。
這包括最近的兩個示例,展示了如何在 iPhone 或 Tesla 汽車上使用 Log4j 開源 Java 工具中的漏洞來破壞與端點通信的伺服器。
一位荷蘭研究人員示範了如何将 iPhone 的名稱更改為字元串會迫使另一端的伺服器嘗試通路特定的 URL。一位不知名的研究人員對一輛特斯拉汽車做了同樣的事情,他們将他們的結果釋出到匿名的 Log4jAttackSurface Github 存儲庫。
日益增長的風險
從理論上講,惡意行為者可以在伺服器上托管惡意軟體,然後通過更改 iPhone 的名稱,可以強制 Apple 的伺服器通路該伺服器的 URL 并下載下傳惡意軟體。
不過,這是一個長期目标,因為任何維護良好的網絡都能夠相對輕松地防止此類攻擊。此外,The Verge 進一步解釋說,沒有迹象表明這種方法會導緻這些公司的任何更廣泛的妥協。
極強的脆弱性
Log4Shell 是最近在 Log4j Java 工具中發現的漏洞的名稱,一些研究人員認為該工具可以處理數百萬台裝置以進行事件記錄。
美國網絡安全和基礎設施安全局 (CISA) 局長 Jen Easterly 将這一缺陷描述為她在整個職業生涯中所見過的“最嚴重的缺陷之一”,“如果不是最嚴重的”。
Easterly 解釋說:“我們預計該漏洞将被老練的參與者廣泛利用,我們采取必要措施以減少損害的可能性的時間有限。”
它被跟蹤為 CVE-2021-44228,并允許惡意行為者運作幾乎任何代碼。專家警告說,利用該漏洞所需的技能非常低,并敦促大家盡快修補 Log4j。
在其軟體中使用 Log4j 的組織應立即将其更新到最新的 2.15 版本,該版本可從Maven Central 獲得。
![困在“金飯碗”裡的銀行人[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)