上週,一個影響範圍擴及全球的超大資安漏洞 Apache Log4j 重大風險漏洞 Log4Shell 簡直嚇壞了大家,不但殃及蘋果 iCloud、微軟 Minecraft、Steam 以及推特的重要服務,就連美國國安局都受到影響,被媒體形容為是「核彈級漏洞」,資安公司 Tenable 更指出,這是過去 10 年來最大且最嚴重的單一漏洞。
Log4j 是什麼?
軟體開發人員使用 Log4j 框架來記錄使用者活動和應用程式,以便在之後進行檢查,Log4j 是由非營利組織機構——阿帕奇軟體基金會(Apache Software Fundation)免費發布,至今已被下載數百萬次,是用於收集企業電腦網路、網站、應用程式資訊的工具中,使用最為廣泛的軟體之一。
Log4j 的漏洞,駭客這樣利用
阿帕奇軟體基金會在本(12)月 9 日披露了 Log4j 漏洞,駭客可以利用此漏洞,在目標電腦上遠端執行程式碼,這代表惡意攻擊者可以竊取資料、安裝惡意軟體或者控制目標電腦,一些網路犯罪分子則利用漏洞,在受害電腦中安裝一些可用來挖掘加密貨幣的軟體,另一些犯罪者則以惡意軟體劫持電腦,對網路基礎設施實施大規模攻擊。
♦ TO 推薦閱讀:明年有 300 億台裝置連上網路!物聯網資安漏洞最怕「自己人」出問題
對於個人而言,電腦受到攻擊意味著可能必須支付贖金,否則電腦病毒將鎖住數據與系統;而對於大型企業來說,這類的贖金往往高達數百萬美元,美國東海岸最大的燃料管道系統 Colonial Pipeline Co. 在今年 5 月遭受惡意軟體感染,系統因此關閉了 6 天之久。
志願者出來幫忙,一天只睡 5 小時
這樣的漏洞已經讓阿帕奇軟體基金會的「志願者們」搬出電腦來幫忙,Gary Gregory 就是其中一名,他正在從他的日常工作中抽出時間,努力幫忙控制 Log4j 安全漏洞造成的危害。
Gregory 是 Rocket SoftWare Inc. 的首席軟體工程師,同時也是阿帕奇日誌服務項目管理委員會的成員,該委員會由 16 名成員組成,並且對軟體的更新進行投票。
Gregory 指出,他已經被數百個企業的求救訊息給「淹沒」了,雖然阿帕奇軟體基金會正在努力幫助企業更新他們的系統,但該非營利組織的資源仍然有限。
他還有其他四名夥伴,最近這幾天,他們不斷地發布 Log4j 的更新,與企業共同合作,盡可能減少漏洞造成的威脅,「我昨晚睡了 5 個小時,其他人可能睡了 2、3 個小時吧。」
上週五,阿帕奇發布了補丁後,Gregory 說,他整個周末都在與日本、紐西蘭、維吉尼亞州、亞利桑那州的其他志願軟體開發者一起努力進行新的更新。
企業忙昏頭!資安公司警告:中國駭客正利用 Log4j 漏洞
由於 Log4j 是個超人氣開放原始碼產品,許多公司程式都有內嵌,因此,除了志願者忙著更新與修補 Log4j 漏洞之外,全球企業也忙昏頭了。
德國化工公司 Evonik Industries AG 的資安團隊馬不停蹄地查明企業網路中的 Log4j,並且禁用了員工的線上學習應用程式,以作為預防措施。
自動化公司 Rockwell 則急於與供應商溝通,了解該公司暴露在 Log4j 缺陷中的情況;IBM、VMWare 等美國科技公司則表示,他們正在部署補丁。目前,受害公司清單仍然列不完,包括蘋果、亞馬遜、Cloudflare、IBM、微軟旗下的 Minecraft、Palo Alto Networks、推特等等,無一倖免。
然而,網路安全公司 Mandiant Inc. 表示,已經觀察到中國政府駭客正利用 Log4j 的漏洞。科技孵化器 CTM Insights LLC 的創始人 Lou Steinberg 則警告:「處於危險之中的伺服器可能數以百萬計。」
美國網路安全與基礎設施安全局(CISA)建議企業,應該立即確定裝有 Log4j 軟體的連網設備,並確保資安團隊以及這些設備對 Log4j 漏洞做出反應,也建議企業安裝一個具有自動更新規則的 Web 應用防火牆,如此一來相關警報會少一些,而資安團隊可以更集中精力處理警報與漏洞。
阿帕奇軟體基金會呼籲升級到 Log4j 工具的最新版本,微軟亦建議客戶採取一系列步驟來降低風險,比如和軟體應用程師供應商聯繫,確保他們使用的是最新版本的 Java。
參考資料:WSJ(1)、WSJ(2),首圖來源:Shutterstock
(本文提供合作夥伴轉載。)