Log4Shell 漏洞为攻击者提供了一种在任何易受攻击的机器上执行代码的简单方法
大大小小的公司的安全团队都在争先恐后地修补一个名为 Log4Shell 的先前未知的漏洞,该漏洞有可能让黑客入侵网络上的数百万台设备。
如果被利用,该漏洞将允许在易受攻击的服务器上远程执行代码,从而使攻击者能够导入完全危害计算机的恶意软件。
该漏洞存在于 log4j 中,log4j 是网络上的应用程序和服务使用的开源日志库。日志记录是一个过程,在这个过程中,应用程序会保留他们已执行的活动的运行列表,以便稍后在出现错误时进行查看。几乎每个网络安全系统都运行某种日志记录过程,这为 log4j 等流行库提供了巨大的影响力。
“当我回顾过去 10 年时,我只能想到另外两个具有类似严重性的漏洞利用”
以阻止全球 WannaCry 恶意软件攻击而闻名的著名安全研究员马库斯·哈钦斯 (Marcus Hutchins) 在网上指出,数百万应用程序将受到影响。“数以百万计的应用程序使用 Log4j 进行日志记录,而攻击者所需要做的就是让应用程序记录一个特殊的字符串,”哈钦斯在一条推文中说。
该漏洞首先出现在托管Minecraft服务器的站点上,该站点发现攻击者可以通过发布聊天消息来触发该漏洞。安全分析公司 GreyNoise 的一条推文报道称,该公司已经检测到大量服务器在网络上搜索易受攻击的机器。
一个博客帖子从应用程序安全公司LunaSec声称,游戏Steam平台和苹果的iCloud已经被认为是脆弱的。Valve 发言人 Doug Lombardi 表示,工程师立即审查了其系统,并且由于涉及不受信任代码的网络安全规则,他们认为 Steam 没有被利用的风险。苹果确实立即回应了置评请求。
要利用该漏洞,攻击者必须使应用程序在日志中保存一个特殊的字符串。由于应用程序通常会记录范围广泛的事件——例如用户发送和接收的消息,或系统错误的详细信息——该漏洞非常容易被利用,并且能够最终靠多种方式触发。
“这是一个非常严重的漏洞,因为 Java 和这个包 log4j 的广泛使用,”Cloudflare 首席技术官 John Graham-Cumming 告诉The Verge。“有大量 Java 软件连接到互联网和后端系统。回顾过去 10 年,我只能想到另外两个具有类似严重性的漏洞:Heartbleed,它允许您从本应安全的服务器获取信息,以及 Shellshock,它允许您运行代码在远程机器上。”
然而,易受攻击的应用程序的多样性以及可能的交付机制的范围意味着仅靠防火墙保护并不能消除风险。从理论上讲,攻击甚至能够最终靠将攻击字符串隐藏在包裹递送公司扫描的二维码中来实现,无需直接利用互联网发送即可进入系统。
已经发布了对log4j 库的更新以缓解该漏洞,但考虑到确保更新所有易受攻击的机器所花费的时间,Log4Shell 仍然是一个紧迫的威胁。