極其嚴重的 Log4J 漏洞使大部分互聯網處于危險之中

Apache 軟件基金會已發布修復程序以包含一個積極 利用的零日漏洞，該漏洞會影響廣泛使用的基于 Java 的 Apache Log4j 日志庫，該漏洞可被武器化以執行惡意代碼并允許完全接管易受攻擊的系統。

該問題被跟蹤為CVE-2021-44228并被綽號 Log4Shell 或 LogJam 跟蹤，該問題涉及任何使用開源實用程序并影響版本 Log4j 2.0-beta9 至 2.14 的應用程序上未經身份驗證的遠程代碼執行 (RCE) 的情況。 1. 該漏洞在 CVSS 評級系統中的得分為 10 分，滿分 10 分，表明問題的嚴重性。

“當啟用消息查找替換時，可以控制日志消息或日志消息參數的攻擊者可以執行從LDAP服務器加載的任意代碼，”Apache 基金會在一份公告中說。“從 Log4j 2.15.0 開始，默認情況下已禁用此行為。”

漏洞利用可以通過單個文本字符串來實現，如果通過易受攻擊的 Log4j 實例進行記錄，則可以觸發應用程序訪問惡意外部主機，從而有效地授予攻擊者從遠程服務器檢索有效負載的能力和在本地執行。項目維護人員認為阿里云安全團隊的陳兆軍發現了這個問題。

Log4j的用作日志包在各種不同的流行軟件由多家廠商，其中包括亞馬遜，蘋果的iCloud，思科，CloudFlare的，ElasticSearch，紅帽，蒸汽，特斯拉，微博和視頻游戲，如我的世界。在后者的情況下，攻擊者只需將特制消息粘貼到聊天框中即可在 Minecraft 服務器上獲得 RCE。

巨大的攻擊面

“Apache Log4j 零日漏洞可能是我們今年看到的最嚴重的漏洞，”Qualys 漏洞和簽名高級經理 Bharat Jogi 說。“Log4j 是一個無處不在的庫，被數以百萬計的 Java 應用程序用于記錄錯誤消息。這個漏洞很容易被利用。”

網絡安全公司BitDefender、Cisco Talos、Huntress Labs和Sonatype都證實了在概念驗證 ( PoC ) 漏洞可用后，大規模掃描野外受影響應用程序以查找易受攻擊的服務器和針對其蜜罐網絡注冊的攻擊的證據。“這是一種低技能的攻擊，執行起來非常簡單，”Sonatype 的 Ilkka Turunen 說。

GreyNoise 將該漏洞比作Shellshock，表示它觀察到針對該漏洞的惡意活動于 2021 年 12 月 9 日開始。網絡基礎設施公司 Cloudflare指出，它在世界標準時間周五下午 6:00 左右每分鐘阻止了大約 20,000 個漏洞利用請求，其中大部分來自加拿大、美國、荷蘭、法國和英國的剝削企圖

鑒于 Log4j 在企業 IT 和 DevOps 中易于利用和流行，預計未來幾天針對易受攻擊的服務器的野外攻擊將增加，因此必須立即解決該缺陷。以色列網絡安全公司 Cyber??eason 還發布了一個名為“ Logout4Shell ”的修復程序，通過利用漏洞本身重新配置記錄器并防止進一步利用攻擊來彌補這一缺陷。

“這個 Log4j (CVE-2021-44228) 漏洞非常嚴重。數以百萬計的應用程序使用 Log4j 進行日志記錄，攻擊者需要做的就是讓應用程序記錄一個特殊的字符串，”安全專家 Marcus Hutchins在一條推文中說。