Log4j 中漏洞的严重性绝不是理论上的。 网络罪犯 scan 世界各地的港口寻找利用它们的方法。 安全研究人员观察到数十万次攻击。
在过去的几天里,Check Point Software 确认了 470,000 次尝试 scan 全球企业网络。 这 scan除其他外,执行 s 以查找允许外部 HTTP 请求的服务器。 此类服务器很容易利用 Java 库 Log4j 中臭名昭著的漏洞。 如果服务器允许 HTTP 请求,攻击者可以使用指向远程服务器的单行 ping 服务器,并使用 Java 指令执行恶意软件。 如果被 ping 的服务器连接到处理 Log4j 的 Java 应用程序,Java 应用程序会将该行作为执行恶意软件的命令来处理。 在这条线的底部,受害者的服务器执行攻击者的命令。 安全组织 Sophos 表示,它已识别出数十万次攻击。
熟悉的面孔
前面我们写过一篇关于Log4j中漏洞的上述技术操作的启蒙文章。 滥用的最大先决条件是能够访问包含 Log4j 的 Java 应用程序。 在某些情况下,这是儿戏。 例如,Apple 使用 iCloud Log4j 记录 iPhone 的名称。 通过将 iOS 中 iPhone 的型号名称更改为 Java 指令,结果证明可以破解 Apple 的服务器。
在其他情况下,应用程序不太容易受到影响。 最大的威胁来自具有经验、知识和现有技术的攻击者。 Netlab360 的安全研究人员设置了两个诱饵系统(honeypots,ed.),以利用 Log4j 邀请对 Java 应用程序的攻击。 因此,研究人员引诱了九种著名恶意软件类型的新变种,包括 MIRAI 和 Muhstik。 恶意软件菌株旨在滥用 Log4j。 一个常见的攻击目标是加强用于加密挖掘和 DDoS 攻击的僵尸网络。 Check Point Software 进行了更大规模的类似调查。 在过去的几天里,该安全组织记录了 846,000 次攻击。
国防
很明显,网络犯罪分子会寻找并利用易受攻击的 Log4j 版本。 最可取的防御是并且仍然是清点环境中的所有 Log4j 应用程序。 如果使用 Log4j 的应用程序的供应商已经发布了更新版本,建议打补丁。 如果没有,禁用是最安全的选择。 NCSC 对处理 Log4j 的软件的漏洞进行了概述。
目前不建议开发自己的软件措施或调整 Log4j 的操作。 该漏洞有变化。 微软等公司检测到用于指示 Java 应用程序运行恶意软件的规则的多种变体。 Check Point 提到了 60 多种突变。