“史上最大漏洞”,被中國程式設計師發現

► 文 觀察者網 趙挪亞
據美聯社12月11日報道,中國阿里雲安全團隊在Web伺服器軟體阿帕奇(Apache)下的開源日誌元件Log4j內,發現一個漏洞Log4Shell。這一漏洞的存在,可以讓網路攻擊者無需密碼就能訪問網路伺服器。
網路安全專家認為,這一漏洞潛在危害極大,甚至可能是“計算機歷史上最大的漏洞”。包括蘋果、三星以及Steam在內的雲服務都可能受到影響。阿帕奇軟體基金會已將這一漏洞的嚴重性列為最高。
阿里雲團隊12月10日釋出的最新預警
事件起始於上月24日,中國阿里雲團隊的一名成員向阿帕奇披露了這一漏洞。隨後,奧地利和紐西蘭官方的計算機應急小組率先對這一漏洞進行了預警。
紐西蘭方面稱,該漏洞正在被“積極利用”,並且概念驗證程式碼也已被髮布。
這次曝光的漏洞,存在於Java日誌框架的Log4j,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,儲存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網路安全系統都會利用某種日誌框架進行紀錄,這也使得Log4j影響廣泛。
網路安全管理公司Cloudflare首席安全官喬·沙利文(Joe Sullivan)表示,這一漏洞允許惡意攻擊者“遠端執行程式碼”,以獲取對其他系統的訪問,鑑於Log4j軟體被廣泛使用,這可能是迄今為止“最大的漏洞”。
到了本月10日,警報進一步擴大。當天,微軟旗下游戲《我的世界》(Minecraft)釋出公告稱,遊戲的Java版容易受到攻擊,並建議使用者立即採取措施解決安全問題。玩家可以透過在遊戲聊天框中貼上資訊的方式,在其他玩家的電腦上執行程式。
同一天,沙利文稱公司在“過去6到10小時內”發現,使用這一漏洞的惡意使用者激增。
資料安全平臺LunaSec的研究人員發現,有證據表明Steam、以及蘋果的雲服務受到了影響,而帕洛阿爾託網路公司(Palo Alto Network)在一篇博文中指出,推特和亞馬遜也受到了攻擊。
專家們嚴正警告了本次漏洞的潛在危害性。
網路安全公司Crowdstrike高階副主席邁耶斯(AdamMeyers)表示,在美國時間10日早上,駭客已經將漏洞“完全武器化”,還開發出利用該漏洞工具向外分發。他形容稱“網際網路當下正冒火”,不法分子和駭客正爭先恐後地利用這個漏洞,而各大機構網路安全人員則爭分奪秒地努力修補。
另一家網路安全公司Tenable的執行長阿米特·約蘭(Amit Yoran)稱,Log4Shell是“過去十年內最大也是最關鍵的單一漏洞”,甚至可能是“現代計算機歷史上最大的漏洞”。
美聯社則評論稱,這一漏洞可能是近年來發現的最嚴重的計算機漏洞。Log4j在全行業和政府使用的雲伺服器和企業軟體中“無處不在”。除非被修復,否則犯罪分子、間諜乃至程式設計信守,都可以輕易使用這一漏洞進入內部網路,竊取資訊、植入惡意軟體和刪除關鍵資訊等。
阿帕奇軟體基金基金會,已經將這一漏洞的嚴重性列為10級中的最高。
國外社交媒體使用者以表情包的形式,說明Log4j的重要性
目前,各大公司已經開始著手修復這一漏洞。根據世界最大網路安全公司邁卡菲(McAfee)的說法, 最重要和最完整的緩解方法,是將log4j更新到穩定版本2.15.0。
未來,邁卡菲還計劃使用額外的服務如(DNS)來測試該漏洞的變化。我們可能會根據結果相應地更新本文件。同時,邁卡菲企業已經為利用NSP(網路安全平臺)的客戶釋出了一個網路簽名KB95088,該簽名可檢測攻擊者利用漏洞的企圖。
12月10日,阿里雲安全團隊釋出公告稱,發現阿帕奇Log4j 2.15.0-rc1版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0 正式版本。
來源|觀察者網

閱讀原文