Log4j软件缺陷使黑客有办法强制下载未经授权的软件。图片来源:KACPER PEMPEL/REUTERS 我们广泛使用的互联网软件中存在一个严重漏洞,是近年来最大的网络安全风险之一。 这一漏洞隐藏在一款名为Log4j的很不起眼的服务器软件之中,网络安全研究人员表示,这 可能会被罪犯和黑客利用,全球 数以亿计的设备或受影响。 世界 各地的公司和政府机构紧急采取行动, 正在匆忙应对全球计算机网络面临的潜在的重大网络安全威胁。美国国土安全部网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, 简称CISA)就该漏洞发出了紧急警报,并敦促各公司采取行动。CISA局长Jen Easterly表示:“要明确一点,这个漏洞构成严重风险。只有通过政府与私营部门之间的协同努力,才能把潜在影响降到最低。”
欧盟方面,成员国的网络安全响应团队正密切关注Log4j的发展。比利时国防部表示,考虑到与该漏洞有关的网络攻击,国防部已经关闭了部分计算机网络。德国的网络安全组织就该漏洞发出“红色警报”。 澳大利亚称这是一个“严重”问题。
一名美国高级网络安全官员称,这个漏洞是其见过的最严重漏洞。
比利时国防部也发现了网络攻击,并断开了受影响的部分网络。图片来源:HATIM KAGHAT/BELGA NEWS AGENCY/ZUMA PRESS 安全专家警告说,可能需要几周或更长时间来评估相关损害的程度,而且利用该漏洞的黑客或可访问网络上的敏感数据并安装后门,即使这款存在缺陷的软件打上了补丁,他们也可能利用后门继续访问服务器。 安全公司Randori的首席科学家Aaron Portnoy说:“这是很长时间以来我所见到的最重大漏洞之一。”
安全专家指出,许多公司都有其他程序,可以防止恶意黑客运行软件并侵入自己的公司,这可能会限制该漏洞的影响。
微软(Microsoft Co., MSFT)在向客户发出的一份警报中称:“攻击者正在试探所有终端的漏洞。”亚马逊公司(Amazon.com Inc., AMZN)、Twitter Inc. (TWTR)和思科系统(Cisco Systems Inc., CSCO, 简称﹕思科)等公司表示,在调查这个问题的严重程度。作为全球最大云计算公司的亚马逊在一份安全警报中说:“我们正积极监测这一问题,并努力解决它。”
Log4j开发团队志愿者Ralph Goers称,这个软件缺陷在上个月底报告给了该团队。Log4j开发团队由一群程序员志愿者组成,他们无偿发布软件,隶属于非盈利性组织阿帕奇软件基金会(Apache Software Foundation)。该基金会帮助监督许多开源程序的开发,在12月9日曾提醒其用户群体注意上述漏洞。
“这是一个非常关键的问题,”Goers称。“人们需要升级进行修复。”Log4j用于在服务器上保存用户的活动记录,以便安全或软件开发团队日后查看。
Goers称,由于Log4j是免费发布的,目前还不清楚有多少服务器受到该漏洞的影响,但这个记录软件下载了数百万次。
International Business Machines Corp. (IBM)的Red Hat、甲骨文公司(Oracle Corp., ORCL)和VMware Inc. (VMW)的产品中均包含Log4j软件,这些软件供应商表示,公司正在部署补丁。
这并不是开源软件第一次引发安全问题。2014年,开源软件OpenSSL被发现存在名为“Heartbleed”的漏洞,随后,软件供应商敦促全球各地的互联网用户重新设置用户密码。OpenSSL是一款由志愿者开发的互联网软件,虽不起眼但应用广泛。
研究人员说,黑客已开始广泛利用Log4j漏洞,包括利用该漏洞进入运行微软Minecraft游戏软件的服务器。这些研究人员很快观察到,互联网上出现广泛的扫描和尝试触发Log4j漏洞的活动。微软已发布了一份通知,建议部分Minecraft游戏玩家升级软件以修补该漏洞。
安全公司Check Point Software Technologies Ltd.称,在大约24小时内,看到了10万多次利用该漏洞的尝试,据估计,其中大约一半的尝试来自恶意的网络攻击者。CheckPoint说,其余的尝试要么来自合法的研究人员,要么来自扫描国家基础设施的政府部门,或者是安全研究人员。
荷兰研究人员Cas van Cooten说,他在苹果公司(Apple Inc., AAPL)的服务器上发现了这个漏洞,通过这个漏洞,他可能有办法在苹果公司的网络中运行代码。van Cooten说,他立即向苹果公司报告了这个问题。他说:“如果有恶意的黑客想把这个漏洞变成武器,将轻而易举。”
另一位研究人员Carson Owlett说,与他的安全公司Black Mirage LLC合作的顾问在其他一些公司运行的系统中检测到了这个漏洞,比如Twitter和领英(Linkedin, LNKD)。领英是微软公司旗下平台。
Twitter一名发言人在电子邮件中称:“我们的团队正在研究这个问题,但目前没有细节可以分享。”领英一名发言人通过短信回应说:“我们正在对此作出回应,但就像许多公司的安全团队一样,目前我们没有遇到任何正在活跃的问题。”
独立安全顾问Ryan McGeehan说,服务器会记录电子邮件地址和网络导航请求等各种数据,因此,这些尝试可能会让攻击者在企业网络深处的脆弱服务器上找到立足点。“一次成功的攻击就像创造了一个虫洞,”他说。“攻击者无法确定他们最终会在哪里落脚。”McGeehan曾在Facebook (FB)担任安全总监。
思科正在对其150多款产品进行排查,以寻找Log4j漏洞。该公司一名发言人称,到目前为止,思科已发现有三款产品存在该漏洞,并确定有23款产品没有该漏洞。
美国国土安全部此前也对联邦机构下达过网络安全指令。图片来源:TING SHEN FOR THE WALL STREET JOURNAL 阿里巴巴集团控股有限公司(Alibaba Group Holding Limited, 9988.HK, BABA, 简称:阿里巴巴)的一名研究人员在11月下旬最先发现了这个全球性软件漏洞,并向一个开源软件基金会做出提醒。
中国官员称该阿里巴巴未及时向中国主管部门报告Log4j2软件漏洞。据官方媒体报道,中国主管技术的部门因此事暂停了与阿里巴巴云计算部门的一项网络安全合作。
Apache Log4j是一种用于记录计算机网络和应用中活动的免费代码,上述漏洞在本月公开,黑客正试图利用这一漏洞进入企业和政府系统。在美国,官员称数亿设备面临风险,并发布了一项紧急指令,要求联邦机构采取措施在平安夜之前缓解相关威胁。
Log4j由非营利性机构Apache软件基金会(Apache Software Foundation)免费发布,是用于收集企业计算机网络、网站和应用程序信息的工具中使用最为广泛的软件之一。
Apache软件基金会一位发言人称,阿里云(Alibaba Cloud)的研究人员最先报告了这个漏洞。阿里云是阿里巴巴的子公司。据一份在线Apache日志服务安全报告。
网络安全专家表示,对于发现软件漏洞的研究人员而言,约定俗成的做法是以非公开方式将漏洞报告给可以发布修复程序的开发者。在这些补丁就位前把软件漏洞或更新公之于众,可能引发黑客争相利用此类问题。
阿里云的研究人员在11月24日呼吁Apache软件基金会关注该漏洞,由志愿者团队管理的Apache表示,该基金会在一天内接受了他的报告并开始研究修复方案。Apache在接下来的两周与阿里云研究人员多次沟通,讨论潜在修复方案。
《中国日报》援引接近工信部人士的话报道称,工信部表示,因发现严重漏洞未及时报告,阿里云被暂停工信部网络安全威胁信息共享平台合作单位六个月。
报道称,阿里云是工信部网络安全威胁信息共享平台的合作单位;该平台要求成员及时报告有关此类漏洞的信息。《中国日报》报道称,阿里巴巴未及时向电信主管部门报告Apache Log4j的缺陷,阻碍了中国工信部有效处理这一威胁。
工信部通报称,将根据阿里云的整改情况,研究恢复其上述合作单位。
工信部在网站上表示,阿里云近日发现了Log4j漏洞,并将漏洞情况告知Apache软件基金会。工信部的通报还称,工信部于12月9日通过其网络安全威胁信息共享平台获知了该漏洞的存在。
工信部表示,当时立即召集了网络安全专家,包括来自阿里云的专家,以评估网络安全威胁。在声明中,工信部称Log4j缺陷是一个高风险的漏洞,可能导致设备被远程控制和敏感信息被盗。
该漏洞能使黑客在目标计算机上远程运行代码,进而有可能接管设备、安装勒索软件或为未来的攻击创建后门。网络安全研究人员表示,他们已经发现与几个国家政府有关联的黑客试图利用该漏洞。伊朗、土耳其和朝鲜都在提到的国家之列。
中国驻美国大使馆发言人表示,中国反对任何形式的网络攻击。
以下是我们知道的关于Log4j漏洞信息汇总,供参考:
Log4j是什么?
软件开发人员使用Log4j框架来记录用户活动和应用程序行为,以便之后进行检查。Log4j由非营利性机构阿帕奇软件基金会(Apache Software Foundation)免费发布,已被下载数以百万次,是用于收集企业计算机网络、网站和应用程序信息的工具中,使用最为广泛的软件之一。
黑客如何能利用Log4j的漏洞?
阿帕奇软件基金会12月9日披露了Log4j漏洞,攻击者可利用该漏洞在目标计算机上远程执行代码,这意味着攻击者可以窃取数据、安装恶意软件或控制目标计算机。一些网络犯罪分子已安装了利用被入侵系统挖掘加密货币的软件,另一些犯罪分子开发出了恶意软件,用于攻击者劫持计算机,对互联网基础设施实施大规模攻击。
安全专家特别担心的是,该漏洞可能使黑客在一个系统内有足够的端点来安装勒索软件
美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency, 简称CISA)局长Jen Easterly发表的一份声明中称:“要明确的是,这个漏洞构成严重风险。”
Log4j漏洞有多普遍?
面向互联网的系统和后端系统都可能包含该漏洞。Log4j软件被广泛用于商业软件开发。科技孵化器CTM Insights LLC的创始人Lou Steinberg说:“处于危险之中的服务器可能数以百万计。”阿帕奇软件基金会的一位发言人称,由于Log4j插入到软件中的不同位置,因此无法追踪该工具的使用范围。
CISA已经创建了一个信息页面,并提出了建议。
哪些技术供应商受到Log4j漏洞的影响?
很多,而且这个名单还在不断变长。其中包括苹果公司(Apple Inc., AAPL)、亚马逊公司(Amazon.com Inc., AMZN)、Cloudflare Inc. (NET)、IBM (IBM)、微软(Microsoft Corp., MSFT)旗下的Minecraft、Palo Alto Networks Inc. (PANW)和Twitter Inc. (TWTR)。一些科技公司已经向客户发出了警报和如何降低风险的指导。
企业如何解决Log4j漏洞问题?
CISA建议企业立即确定装有Log4j软件的上网设备,并确保你的安全团队对与这些设备的相关警报作出反应。另外,建议安装一个具有自动更新规则的Web应用防火墙,这样相关警报会少一些,而你的团队可以集中精力处理警报。
已有一些补丁和技术指导可用。阿帕奇软件基金会在最近几天发布了多个更新,并建议升级到Log4j工具的最新版本。
Liza Lin / David Uberti / Robert McMillan/ James Rundle / Kim S. Nash
2021年12月25日15:30 CST 更新
狗仔卡
发表于 2021-12-25 09:30 PM
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡