Log4j漏洞背后的更大问题——开源项目的资金来源( 二 )


我们已经确定#Log4J 问题相当严重,因此将尝试在默认情况下至少为全体 @Cloudflare客户提供一定程度的保护,其中包括不享受WAF防火墙服务的免费客户。我们正在研究如何安全地达成保护目标。
— Matthew Prince (@eastdakota) 2021年12月10日
值得一提的是,Log4j甚至可能影响到某些运行有Java服务器组件的智能设备。所以大家的智能烤面包机也有可能成为黑客攻击的目标……虽然似乎没什么意义。
数据安全平台LunaSec也在官方博文中对该漏洞的潜在影响做出了着实的技术解释。
最后,让我们用一条推文概括Log4j的使用范围究竟有多广。
大家听说过2020年登陆火星的机智号漫游车吗?它也是由Apache Log4j提供支持的哦。
https://t.co/gV0uyE1ylk#Apache#OpenSource#innovation#community#logging#servicespic.twitter.com/aFX9JdquP1
— Apache – The ASF (@TheASF) 2021年6月4日
有什么缓解措施?
就在bug曝光数小时之后,Apache基金会的安全团队就发布了新的Log4j版本(v15.0),其中包含保护系统免受攻击的补丁。
《我的世界》开发商Mojang Studios还发布了一份指南,帮助运行官方游戏客户端及游戏服务器的用户们快速修复bug。指南还警告说,其他运行第三方游戏客户端的用户恐怕需要等待相应供应商发布修复补丁。另外,瑞士政府计算机响应小组(CERT)也以图片形式在Twitter上发布了易于理解的预防指南。
请注意:我们发现大量针对#log4j漏洞的扫描,并决定发布这篇包含指导意见的博文::https://t.co/dtEXfY1G16
请立即安装补丁! pic.twitter.com/HSedlSed0V
— GovCERT.ch (@GovCERT_CH) 2021年12月12日
Red Hat及VMWare等厂商也发布了自己的漏洞修复补丁。各位服务器管理员朋友,请点击此处参考多篇服务器安全博文以了解详尽的缓解策略。一位GitHub用户还制作了非常实用的补丁列表,其中列出了包括Netflix、Citrix、Docker及甲骨文在内的多家厂商发布的补丁。
Apache也已经发布了Log4j框架的2.16.0版本,此次更新完全删除了邮件查找功能以消解安全威胁。此外,新版本还禁用了指向消息或其参数中所包含查找信息的自动解析功能。
一切才刚刚开始
虽然服务供应商和开源社区正日以继夜地努力解决问题,希望尽可能保护一切使用Log4j的系统,但真正的威胁仍然悬于我们头顶。
根据Bleeping Computer昨晚发布的报道,攻击者正利用这一漏洞安装加密货币挖矿软件、恶意软件,并部署大规模DDoS(分布式拒绝服务)僵尸网络。微软的威胁情报团队也注意到,不少攻击者正在利用Colbat Strike渗透检测工具开展凭证盗窃。
Sophos高级研究研究员Sean Gallagher也表示,这家安全厂商已经检测到大量远程代码执行尝试:
自12月9日以来,Sophos已经检测到数十万次使用Log4Shell漏洞进行的远程代码执行尝试。最初的尝试主要来自安全研究人员及潜在攻击者执行的概念验证(PoC)漏洞利用测试,外加自我检测性质的在线漏洞扫描。在此之后,攻击者开始尝试安装挖矿程序,包括Kinsing矿工僵尸网络。
最新情报还表明,攻击者正试图利用此项漏洞窃取亚马逊云科技(AWS)账户中使用的密钥。
安全研究员Greg Linares在推文中表示,恶意攻击者可能正在构建一种蠕虫,用于通过Log4j漏洞攻击大量服务器、进而造成损害或索取赎金。
#Log4J 据我所见,有证据表明接下来的24到48小时内将出现一种专门针对这项漏洞的蠕虫程序。
这种病毒能够自我传播,并在受感染的端点上建立起自托管服务器。