144
社区成员
广泛使用的Log4j日志库爆出漏洞,无异于一场重大安全危机,危机很快波及整个互联网的数字系统,也让各路黑客试图乘虚而入。研究人员警告称,即使推出修复补丁,全球范围内的严重影响可能也无法挽回了。
而问题就出在Log4j上。Log4j是Apache旗下一款通用的开源日志记录框架,开发人员用它来记录应用内的行为。Apache的安全响应人员正在争分夺秒地修复该漏洞,同时黑客也在利用该漏洞远程控制易受攻击的系统。更有黑客已经开发出自动利用该漏洞的工具,以及可在适当条件下从一个易受攻击的系统独立传播到另一个系统的蠕虫。
Log4j是一个Java库。虽然现在Java编程语言不太受消费者欢迎,但它仍然广泛应用在企业系统和Web应用中。据研究人员预估,大批主流服务将受到此次安全危机的影响。
例如,微软旗下的Java版本游戏《我的世界》(Minecraft)于12月10日发布了一则通知,向玩家详细告知了Log4j漏洞对用户计算机造成的影响以及系统升级方案。
攻击者只需发送由Log4j 2.0或更高版本记录的恶意代码字符串,就能轻而易举地利用这一漏洞,从而在服务器上加载任何Java代码并控制服务器。
论坛上流传的《我的世界》屏幕截图显示,有玩家通过该游戏聊天窗口触发了该漏洞。12月10日,部分Twitter用户将自己的显示名更改为可以触发该漏洞的代码字符串。另有用户向Apple证实,更改iPhone手机名称就可以触发该漏洞。研究人员称这种方法通过电子邮件也可以奏效。
12月9日,开源数据安全平台LunaSec的研究人员发布了对Log4j漏洞的警告和初步评估。次日,美国网络安全与基础设施安全局(CISA)发布了有关该漏洞的警报,澳大利亚计算机应急响应小组(CERT)也发布了相关警报。新西兰政府网络安全组织发布警报指出,据悉黑客正在“大肆利用”该漏洞。
业内人士称:“该漏洞很容易被利用,波及范围广,影响用户多。这是灾难性的设计失败。目前虽然有一些缓解措施,但现实情况是,许多没有使用当前版本的公司也要忙着修复该漏洞。”
Apache将漏洞严重级别定为“严重”,并在12月10日发布了补丁和缓解措施。Apache透露,来自阿里云安全团队的陈招君最先上报了该漏洞。
鉴于企业软件之间互相依赖,风险管理的挑战尤为严峻。如同《我的世界》游戏一样,许多组织需要开发自己的补丁,但也可能无法立即运行补丁,因为它们运行的是旧版Java等遗留软件。此外,在实际服务中修补Log4j漏洞并非易事,因为一旦出现问题,原本用来监视漏洞攻击企图的日志功能也许就无法使用了。
普通用户对此无能为力,只能等各类软件推出更新后升级系统,而修复漏洞的重担主要还是落在相关公司和组织身上。
在一家大型软件公司就职的安全工程师透漏:“安全成熟度高的组织在这样的漏洞爆发后数小时内便开始评估漏洞带来的风险,而有些组织几周后才会开始,更有些组织完全不去评估。”
回想SolarWinds黑客事件及其严重影响,我们已经见识到了攻击者的魔爪伸向常用软件的严重后果。而此次Log4j安全事件进一步表明,如果某个缺陷藏匿于一段基础代码中并被集成到诸多软件中,影响范围会有多大。
有漏洞披露资深研究员指出:“类似的库问题对于软件供应链攻击事件下的漏洞修复提出了特别严峻的考验。必须在漏洞修复后对所有使用该库的软件进行安全测试。”
目前,当务之急是弄清楚漏洞的波及范围究竟有多大。——安全团队和黑客们都在夜以继日地寻找这一答案。
稿件来源:https://www.wired.com/story/log4j-flaw-hacking-internet/