比利時國防部被用Log4j漏洞攻破，又出新洞

比利時政府官員表示，自上周五發生網絡事件后，比利時國防部的部分計算機網絡一直處于癱瘓狀態，攻擊者利用了Apache Log4j漏洞。

“整個周末，我們的團隊都被動員起來控制問題，保證我們的運行并警告我們的合作伙伴，”發言人Olivier Séverin告訴新聞出版物VRT NEWS。“首要任務是保持網絡運行，我們將繼續關注局勢。”

Log4j是一種廣泛使用的日志軟件，存在于數億臺設備中。據微軟和Mandiant研究人員稱，多國政府有關聯的黑客都爭先恐后地利用這一漏洞，目前勒索軟件組織也試圖利用該漏洞。

關于此漏洞，請查閱我們之前發送的內容：“互聯網破了個洞”

比利時國防部是該漏洞的第一個備受矚目的政府受害者，但鑒于Log4j在公共和私營部門流行的許多企業軟件中無處不在，這不太可能是最后一個。

比利時國防部發言人Séverin說，在發現攻擊后，比利時網絡的受影響部分被分割，截至本周一早上，包括電子郵件在內的系統似乎仍處于癱瘓狀態。

比利時政府并未將此次襲擊歸咎于任何團體或國家。

CISA主管Jen Easterly稱該漏洞是“我在整個職業生涯中見過的最嚴重的漏洞之一”。美國國土安全部網絡安全和基礎設施安全局周五發布了一項指令，要求所有聯邦民事機構在12月24日之前修補任何有風險的系統。

2.16版剛修補又出新漏洞

昨天，隨著2.17.0版本的發布，情況發生了變化，該版本修復了一個影響 log4j 2.16的看似輕微但“高”嚴重性的拒絕服務(DoS)漏洞。

這個DoS漏洞標識符為CVE-2021-45105。

三天前，Apache的JIRA項目出現拒絕服務漏洞(CVE-2021-45046)。該漏洞被描述為：不管出于任何原因嘗試對以下字符串進行字符串(抱歉不放出)替換，它將觸發無限遞歸，并且應用程序將崩潰。

三天后，Apache將CVE-2021-45046的嚴重性從低(3.7)提高到高危(9.0)，因為較新的繞過允許通過此漏洞進行數據泄露的可能性。

事實證明，在過去三天對該問題進行辯論后，Apache分配了一個新的CVE(CVE-2021-45105)，并推出了一個2.17.0新版本，跟蹤號為CVE-2021-45105的漏洞在CVSS現在得分為“高”(7.5)。

盡管JNDI查找在2.16版中完全禁用，但在某些情況下仍然可以使用自引用查找。Apache Log4j2版本2.0-alpha1到2.16.0沒有防止自引用查找的不受控制的遞歸。

谷歌:超過35000個Java包存在Log4j漏洞

谷歌的分析顯示超過35000個Java包包含log4j漏洞。“超過35000個Java 包，占Maven中央存儲庫(最重要的Java包存儲庫)的8%以上，受到最近披露的log4j漏洞的影響，”谷歌開源洞察團隊的James Wetter和Nicky Ringland在博文中透露。

根據Google的說法，Maven Central中的絕大多數易受攻擊的Java包“間接”借用了log4j——即log4j是所使用包的依賴項的依賴項，這個概念也稱為傳遞依賴項。

大多數易受攻擊的Java包使用“log4j”作為間接依賴項(Google)

在谷歌識別的35863個包中，只有大約7000個直接借用了log4j，這表明并非所有開發人員都可以充分了解他們的軟件： “用戶對其依賴項和傳遞依賴項缺乏可見性，這使得修補變得困難；這也使得很難確定此漏洞的完整爆炸半徑”谷歌解釋說。

但自從上周披露漏洞以來，Wetter和Ringland表示，社區已經做出了積極回應，并且已經修復了他們最初發現的35863個易受攻擊的軟件包中的4620個，這個數字占所有易受攻擊包的13%。

縱觀公開披露的影響Maven包的關鍵漏洞的歷史，目前不到48%的包對這些漏洞進行了修復，谷歌研究人員預測，在所有Java中完全消除log4j缺陷之前“需要等待很長時間，可能需要數年時間。

如各位看到國內各大安全廠家報道的那樣，威脅行為者正在利用log4j漏洞攻擊易受攻擊的服務器來推送惡意軟件，而Conti勒索軟件團伙已經專門針對易受攻擊的VMWare vCenter服務器。因此，各位同學應該升級到最新的log4j 2.17.0版本并繼續時刻監視Apache的更新建議頁面

：）