影响恐遍及全网 Log4j资安漏洞重点一次看

被广泛使用的软体Log4j中的一个严重漏洞,让资安专家发出警讯,各大企业也纷纷忙著要解决这个问题。


上週末通报的这项漏洞存在于以Java语言开发的日志框架Log4j中,大型机构会使用该软体来设定应用程式;这个漏洞对网路的绝大部分领域构成潜在风险。


根据资安研究人员说法,苹果公司(Apple)的云端运算服务、资安公司Cloudflare,以及全球最受欢迎的电玩游戏Minecraft是使用Log4j的众多服务之一。


美国国土安全部网路安全和基础设施安全局(CISA)局长伊斯特利(Jen Easterly)表示,这是她职涯看过“最严重的漏洞之一”。伊斯特利11日发表声明指出,有“愈来愈多”骇客正在积极尝试利用这个漏洞。


根据资安公司Check Point本週的数据,截至14日为止,每分钟就发生超过100次骇客尝试攻击。


资安公司TrustedSec执行长甘迺迪(David Kennedy)指出,这个问题需要几年时间才能解决,然而骇客会每天持续寻求利用这个漏洞,对企业来说犹如定时炸弹。


● Log4j是什么?为什么重要?

根据资安专家说法,Log4j是最受欢迎的网路纪录档记录工具之一。Log4j提供软体开发者方法来建立活动纪录,以用在各种目的上,诸如问题排除、审核和数据追踪。由于它是免费开放资源,Log4j基本上触及网路各个领域。


资安公司Veracode研究总监克里斯.伍(ChrisEng,音译)向美国有线电视新闻网商业频道(CNNBusiness)表示:“它无所不在。就算你是没有直接使用Log4j的开发者,也有可能在操作这个脆弱的程式码,因为你使用的其中一个开放原始码程式库仰赖Log4j。这就是软体的性质,它会无限延续下去。”


● 骇客在利用这个漏洞吗?

根据Cloudflare说法,早在此事曝光的一週前,骇客似乎已经开始利用这项软体漏洞。如今随著每天发生的骇客尝试攻击次数如此之高,有些人担心最糟的情况还在后头。


微软公司(Microsoft)14日晚间在部落格更新文章中表示,来自中国、伊朗、北韩和土耳其获国家撑腰的骇客尝试利用Log4j漏洞。


● 为何这项资安漏洞如此严重?

专家特别担心这项漏洞,因为骇客能轻易进入一间企业的电脑伺服器,让他们得以进入网路其他领域;据甘迺迪说法,要找出漏洞或确认一个系统是否已经遭到损害也相当困难。


除此之外,14日晚间又发现Log4j系统的第2个漏洞。开发Log4j和其他开放原始码软体的非营利组织阿帕契软体基金会(Apache Software Foundation)已经释出安全补丁供各个机构使用。


● 企业行号如何试著解决问题?

Minecraft上週发表部落格贴文,宣布在其游戏一个版本中发现漏洞,已迅速发出补丁。其他企业也採取类似做法。


国际商业机器公司(IBM)、甲骨文公司(Oracle)、亚马逊网路服务(AWS)和Cloudflare都对客户发出建议,部分推出安全更新,或概述他们可能推出补丁的计画。


甘迺迪说:“这是如此严重的漏洞,但这不像传统重大漏洞一样点个按钮就能修补,而是需要很多时间与功夫。”


为了提高透明度并减少不实讯息,CISA表示会设立一个公共网站,针对哪些软体产品受到该漏洞影响,以及骇客如何利用这些漏洞,不时发表更新。


● 接下来呢?

美国政府已经对受到影响的企业发出警示,要求在假期期间对勒索软体和网路攻击提高警觉。


有人担心会有愈来愈多的恶意行为人用新的方法来利用这项漏洞,虽然大型科技公司或许本有安全团队来处理这些潜在威胁,但许多其他机构却没有。


资安公司Red Canary情报主任尼克尔斯(KatieNickels)表示:“我最担心的是学区、医院,以及只有一位资讯人员的地方,此人负责资安,没有时间、安全预算或工具来处理。这些是我最担心的组织,也就是只有小额安全预算的小型组织。”


发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Powered By Z-BlogPHP 1.7.0

Copyright Your WebSite.Some Rights Reserved.