据报道,许多流行的服务,包括 Apple iCloud、Twitter、Cloudflare、Minecraft和 Steam,都容易受到影响流行 Java 日志库的零日漏洞的攻击。
该漏洞被 LunaSec 的研究人员称为“Log4Shell”,并归功于阿里巴巴的陈兆军,已在 Apache Log4j 中发现,这是一种开源日志实用程序,已在大量应用程序、网站和服务中使用。Log4Shell 最初是在微软拥有的 Minecraft 中发现的,但 LunaSec 警告说,由于 Log4j 在几乎所有主要的基于 Java 的企业应用程序和服务器中“无处不在”,“许多服务”容易受到这种攻击。在一篇博客文章中,这家网络安全公司警告说,任何使用 Apache Struts 的人“都可能容易受到攻击”。
到目前为止,已确认服务器容易受到 Log4Shell 攻击的公司包括 Apple、Amazon、Cloudflare、Twitter、Steam、百度、网易、腾讯和 Elastic,尽管可能有数百个甚至数千个其他组织受到影响。在给 TechCrunch 的一份声明中,Cloudflare 表示已更新系统以防止攻击,并补充说它没有发现任何被利用的证据。
美国国家安全局网络安全主管罗伯特·乔伊斯证实, 该机构开发的免费开源逆向工程工具GHIDRA也受到影响:“由于广泛包含在软件框架中,Log4j 漏洞是一个严重的漏洞利用威胁。 ,甚至是 NSA 的 GHIDRA,”他说。
新西兰的计算机紧急响应小组(CERT)、德国电信的 CERT和Greynoise网络监控服务都警告说,攻击者正在积极寻找易受 Log4Shell 攻击的服务器。根据后者,大约有 100 台不同的主机正在扫描互联网以寻找利用 Log4j 漏洞的方法。
HackerOne 的高级安全技术专家 Kayla Underkoffler 告诉 TechCrunch,这个零日漏洞突显了“开源软件在全球关键供应链攻击面中所占比例越来越大的威胁”。
“开源软件支持几乎所有现代数字基础设施,平均应用程序使用 528 个不同的开源组件,”Underkoffler 说。“2020 年发现的大多数高风险开源漏洞也在代码中存在了两年多,大多数组织缺乏对供应链中开源软件的直接控制来轻松修复这些弱点。对于任何依赖它的组织来说,保护这种通常资金不足的软件都是必不可少的。”
Apache 软件基金会今天发布了紧急安全更新,以修补 Log4j 中的零日漏洞,并为无法立即更新的漏洞提供缓解措施。游戏开发商 Mojang Studios 也发布了紧急 Minecraft 安全更新来解决该错误。
