根据安全研究人员的说法,在Java日志记录库Apache Log4j中检测到的0day漏洞可能导致服务器完全被接管,并使无数应用程序容易受到攻击,该漏洞首先在游戏Minecraft中被检测到。
根据CERT New Zealand的一份公告,未经身份验证的远程执行代码漏洞 ( 归类为严重漏洞并跟踪为CVE-2021-44228)正在被积极利用,并且已发布概念验证代码。
CERT NZ表示,在2.0和2.14.1版本之间使用Java日志记录库Apache Log4j的系统和服务(包括许多用Java编写的应用程序和服务")容易受到攻击。
为了防止被攻击,他们紧急建议用户将Log4j版本升级到Log4j-2.15.0-rc2。
在周五发布的警报中,美国网络安全和基础设施安全局表示,鼓励用户和管理员查看Apache Log4j 2.15.0公告并升级到Log4j 2.15.0或立即应用建议的缓解措施。
该漏洞最初是在游戏Minecraft中发现的,但云应用程序(包括在整个企业中广泛使用的应用程序)也仍然容易受到攻击。这包括来自Apple,Amazon,Cloudflare,Twitter和Steam的软件,网络应用程序和产品。
"这是一个最糟糕的情况,"安全公司Bugcrowd的首席技术官创始人Casey Ellis说,"对很多人来说,这将是一个漫长的周末。”
据Cyber Kendra称,阿里云的安全团队于11月24日首次向Apache报告了该漏洞。
安全公司Randori的专家表示,该漏洞可能会影响"数千个组织",并对受影响的系统构成重大的现实风险。
前白宫国土安全顾问、现任国家安全局网络安全局局长罗布·乔伊斯(Rob Joyce)在Twitter上谈到了Log4j,他说:"由于软件框架被广泛使用,甚至国家安全局的GHIDRA(一种开源逆向工程工具),也是一个重大的威胁。”
LunaSec首席执行官Free Wortley和开发人员Chris Thompson在一篇博客文章中表示,类似的漏洞以前曾被利用过,例如2017年Equifax数据泄露事件,该事件暴露了大约1.43亿美国消费者的敏感信息。
"实际上,任何允许远程连接使用Log4j库的应用程序,用到写入日志文件的任意数据的场景都容易受到利用,"Randori攻击团队说。
Huntress公司的高级安全研究员John Hammond在博客中说:"log4j软件包可能与任何给定供应商提供的您使用的软件捆绑在一起。不幸的是,在这种情况下,供应商本身需要将安全更新推向下游。
这个漏洞没有明显的目标,根据访问控制和安全态势的其他因素,这可能会导致企业未来的妥协 - 无论是加密货币矿工,还是勒索软件的受害者。
这个可怕的警告也作为一个例子,说明检测和响应能力的重要性,并暴露了嵌入在传统安全计划策略的风险,美国空军前网络和安全技术经理Tim Wade说,他目前是Vectra AI公司的技术总监。
Hammond 说:"在评估自己的风险和威胁模型时,请考虑你使用的软件的组件,尤其是可以公开访问的组件。
原文转自databreachtoday,作者Dan Gunderman,超级科技译,合作站点转载请注明出处和原文译者为超级科技!
Hi,我是超级科技
超级科技是信息安全专家,能无上限防御DDos攻击和CC攻击,阿里云战略合作伙伴!