apache|极为关键的Log4J漏洞使互联网的大部分地区处于危险之中网络安全

文章图片

Apache软件基金会已经发布了修复程序，以包含一个积极利用的零日漏洞，该漏洞影响了广泛使用的Apache Log4j基于java的日志库，该日志库可以被武装起来执行恶意代码，并允许完全接管脆弱的系统。
该问题被跟踪为CVE-2021-44228 ，并被命名为Log4Shell或LogJam ，涉及在任何使用开源实用程序的应用程序上未经身份验证的远程代码执行(RCE) ，并影响Log4j 2.0-beta9到2.14.1版本。这个bug已经在CVSS评级系统中得到了完美的10分，表明了问题的严重性。
Apache Foundation在一份报告中说:“当启用了消息查找替代时，能够控制日志消息或日志消息参数的攻击者可以执行从LDAP服务器加载的任意代码。 ”在Log4j 2.15.0中，这种行为默认是禁用的。
开发可以通过单个字符串的文本它可以触发应用程序寻找外部恶意主机如果记录通过脆弱Log4j的实例有效地给予对手从远程服务器获取有效载荷的能力并在本地执行它。项目维护者认为是阿里巴巴云安全团队的陈昭君发现了这个问题。
Log4j被许多制造商用作各种不同的流行软件中的日志包，包括亚马逊，苹果iCloud ，思科， Cloudflare ElasticSearch Red Hat Steam ，特斯拉， Twitter ，和视频游戏，如Minecraft 。在后者的情况下，攻击者可以通过简单地将一个特别制作的消息粘贴到聊天框中来获得Minecraft服务器上的RCE 。
巨大的攻击面“Apache Log4j零日漏洞可能是我们今年看到的最关键的漏洞， ”Qualys的漏洞和签名高级经理Bharat Jogi说。 Log4j是一个无处不在的库，数百万Java应用程序使用它来记录错误消息。这个漏洞很容易被利用。 ”
网络安全公司BitDefender Cisco Talos Huntress Labs和Sonatype都确认有证据表明，在一个概念验证(PoC)漏洞的可用性之后，大量扫描受影响的应用程序，以获取脆弱的服务器和针对其“甜心”网络的注册攻击。 Sonatype公司的Ilkka Turunen表示:“这是一种技术含量低的攻击，但执行起来非常简单。
GreyNoise将该漏洞比作Shellshock ，称其观察到针对该漏洞的恶意活动始于2021年12月9日。网络基础设施公司Cloudflare指出，在UTC时间周五下午6点左右，该公司每分钟拦截了大约2万个攻击请求，其中大多数攻击请求来自加拿大、美国、荷兰、法国和英国

鉴于Log4j容易被利用以及在企业IT和DevOps中的普遍性，预计针对易受影响的服务器的野蛮攻击将在未来几天内急剧增加，因此必须立即解决这一缺陷。以色列网络安全公司Cybereason也发布了一个名为 \"Logout4Shell \"的修复程序，通过利用漏洞本身来重新配置记录器，防止进一步利用攻击，从而弥补了这个缺陷。
【apache|极为关键的Log4J漏洞使互联网的大部分地区处于危险之中】\"这个Log4j（CVE-2021-44228）漏洞极其糟糕。数以百万计的应用程序使用Log4j进行记录，而攻击者需要做的就是让应用程序记录一个特殊的字符串， \"安全专家Marcus Hutchins在一条推文中说。