[新闻] 影响恐遍及全网 Log4j资安漏洞重点一次看

楼主: peter98 (新兵)   2021-12-17 14:11:32
应该所有软件公司上周五下午都把工程师叫回去晚上加班吧
然后周末连着两天也都是
西西 刚好oncall 手机响到我怀疑人生
又遇上周五deployment freeze
我直接page老板好爽 叫他起来上班
反正周二赶着做完
周三静静看着做不完的其他组被highlight 西西
新闻:
https://udn.com/news/story/7086/5966368
被广泛使用的软件Log4j中的一个严重漏洞,让资安专家发出警讯,各大企业也纷纷忙着
要解决这个问题。
上周末通报的这项漏洞存在于以Java语言开发的日志框架Log4j中,大型机构会使用该软
体来设定应用程式;这个漏洞对网络的绝大部分领域构成潜在风险。
根据资安研究人员说法,苹果公司(Apple)的云端运算服务、资安公司Cloudflare,以
及全球最受欢迎的电玩游戏Minecraft是使用Log4j的众多服务之一。
美国国土安全部网络安全和基础设施安全局(CISA)局长伊斯特利(Jen Easterly)表示
,这是她职涯看过“最严重的漏洞之一”。伊斯特利11日发表声明指出,有“愈来愈多”
骇客正在积极尝试利用这个漏洞。
根据资安公司Check Point本周的数据,截至14日为止,每分钟就发生超过100次骇客尝试
攻击。
资安公司TrustedSec执行长甘迺迪(David Kennedy)指出,这个问题需要几年时间才能
解决,然而骇客会每天持续寻求利用这个漏洞,对企业来说犹如定时炸弹。
● Log4j是什么?为什么重要?
根据资安专家说法,Log4j是最受欢迎的网络纪录档记录工具之一。Log4j提供软件开发者
方法来建立活动纪录,以用在各种目的上,诸如问题排除、审核和数据追踪。由于它是免
费开放资源,Log4j基本上触及网络各个领域。
资安公司Veracode研究总监克里斯.伍(ChrisEng,音译)向美国有线电视新闻网商业频
道(CNNBusiness)表示:“它无所不在。就算你是没有直接使用Log4j的开发者,也有可
能在操作这个脆弱的程式码,因为你使用的其中一个开放原始码程式库仰赖Log4j。这就
是软件的性质,它会无限延续下去。”
● 骇客在利用这个漏洞吗?
根据Cloudflare说法,早在此事曝光的一周前,骇客似乎已经开始利用这项软件漏洞。如
今随着每天发生的骇客尝试攻击次数如此之高,有些人担心最糟的情况还在后头。
微软公司(Microsoft)14日晚间在部落格更新文章中表示,来自中国、伊朗、北韩和土
耳其获国家撑腰的骇客尝试利用Log4j漏洞。
● 为何这项资安漏洞如此严重?
专家特别担心这项漏洞,因为骇客能轻易进入一间企业的电脑服务器,让他们得以进入网
路其他领域;据甘迺迪说法,要找出漏洞或确认一个系统是否已经遭到损害也相当困难。
除此之外,14日晚间又发现Log4j系统的第2个漏洞。开发Log4j和其他开放原始码软件的
非营利组织阿帕契软件基金会(Apache Software Foundation)已经释出安全补丁供各个
机构使用。
● 企业行号如何试着解决问题?
Minecraft上周发表部落格贴文,宣布在其游戏一个版本中发现漏洞,已迅速发出补丁。
其他企业也采取类似做法。
国际商业机器公司(IBM)、甲骨文公司(Oracle)、亚马逊网络服务(AWS)和
Cloudflare都对客户发出建议,部分推出安全更新,或概述他们可能推出补丁的计画。
甘迺迪说:“这是如此严重的漏洞,但这不像传统重大漏洞一样点个按钮就能修补,而是
需要很多时间与功夫。”
为了提高透明度并减少不实讯息,CISA表示会设立一个公共网站,针对哪些软件产品受到
该漏洞影响,以及骇客如何利用这些漏洞,不时发表更新。
● 接下来呢?
美国政府已经对受到影响的企业发出警示,要求在假期期间对勒索软件和网络攻击提高警
觉。
有人担心会有愈来愈多的恶意行为人用新的方法来利用这项漏洞,虽然大型科技公司或许
本有安全团队来处理这些潜在威胁,但许多其他机构却没有。
资安公司Red Canary情报主任尼克尔斯(KatieNickels)表示:“我最担心的是学区、医
院,以及只有一位资讯人员的地方,此人负责资安,没有时间、安全预算或工具来处理。
这些是我最担心的组织,也就是只有小额安全预算的小型组织。”

Links booklink

Contact Us: admin [ a t ] ucptt.com