華爾街日報報導,網路安全研究人員表示,這伺服器軟體「Log4j」藏有一個不起眼的程式漏洞,是近年來發現的一個最大資安風險,因為這個軟體在企業網路中被廣泛使用。
Log4j 是 Apache 軟體基金會下的一個專案,基於 Java 開發而成,多被 Java 開發人員用於查找錯誤。由於使用範圍極為廣泛,從雲端服務到企業軟體中均有使用,Apache Log4j 於 2021.12.09 被公佈了一個嚴重的資安漏洞。該漏洞影響了Apache Log4j 日誌的多個版本,駭客可藉由發送一種特別的記錄檔訊息來觸發這個漏洞,啟動遠端程式碼執行 (RCE)。該漏洞已被識別為 CVE-2021-44228、CVE-2021-45046 和 CVE-2021-45105,並命名為 Log4Shell。截至目前爲止,已有多項嚴重災情發生。
有多家 IT 業者發出公告,說明旗下產品使用Log4j的情形,並提出緩解措施或是修補程式。其中,HPE、IBM 都分別針對旗下數十款產品發布修補程式,Nivida 也公布他們有3款系統受到不同程度的影響,而 VMware 則是針對日前已遭 Conti 勒索軟體組織鎖定的 vCenter,提出緩解措施。
Log4j 是一個非常好用的工具,因此許許多多的 Java 程式都會用到它。很多時候程式設計師會希望能將一些資料寫入記錄檔中,或是寫入一些其他的儲存庫以供後續使用。這就是 Log4j 的用途,它可以從某個地方接受一個字串 (例如登入畫面上輸入的使用者 ID),然後將字串寫到另一個地方 (例如認證流程的資料輸入欄位)。不過 Log4j 能做到的絕不只有複製/貼上而已,Log4j 還可以查看並解讀字串的內容。而解讀就是一個危險的動作,因為除非程式先將字串處理乾淨,否則在解讀時很容易發生問題。Log4j 並不會先將字串處理乾淨再解讀。
研究人員指出,由於「Log4j」不收費,已廣為流通,迄今已被下載數百萬次,目前還不清楚有多少伺服器受到這個漏洞的影響。網路安全專家警告說,可能要花數周或更久的時間來評估損害程度,而駭客可以利用這個漏洞來存取網路上的敏感資料,並且植入「後門」,即便這個有缺陷的軟體已被修復,他們仍可利用後門來侵入伺服器。
該漏洞最初由阿里巴巴旗下雲端資安團隊所發現,並在 11 月 24 日向 Apache 軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。
已有資安人員在 GitHub 上,列出經確認面臨Log4j漏洞威脅的大型企業,從蘋果、亞馬遜、特斯拉、Google 到Steam、LinkedIn、Webex 等,受害範圍非常廣泛。目前微軟已經為 Minecraft 用戶發布更新,聲稱服務完成修復。
Comments are closed, but trackbacks and pingbacks are open.