Log4j 中漏洞的嚴重性絕不是理論上的。 網絡罪犯 scan 世界各地的港口尋找利用它們的方法。 安全研究人員觀察到數十萬次攻擊。
在過去的幾天裡,Check Point Software 確認了 470,000 次嘗試 scan 全球企業網絡。 這 scan除其他外,執行 s 以查找允許外部 HTTP 請求的服務器。 此類服務器很容易利用 Java 庫 Log4j 中臭名昭著的漏洞。 如果服務器允許 HTTP 請求,攻擊者可以使用指向遠程服務器的單行 ping 服務器,並使用 Java 指令執行惡意軟件。 如果被 ping 的服務器連接到處理 Log4j 的 Java 應用程序,Java 應用程序會將該行作為執行惡意軟件的命令來處理。 在這條線的底部,受害者的服務器執行攻擊者的命令。 安全組織 Sophos 表示,它已識別出數十萬次攻擊。
熟悉的面孔
前面我們寫過一篇關於Log4j中漏洞的上述技術操作的啟蒙文章。 濫用的最大先決條件是能夠訪問包含 Log4j 的 Java 應用程序。 在某些情況下,這是兒戲。 例如,Apple 使用 iCloud Log4j 記錄 iPhone 的名稱。 通過在 iOS 中將 iPhone 的型號名稱更改為 Java 指令,結果證明可以破解 Apple 的服務器。
在其他情況下,應用程序不太容易受到影響。 最大的威脅來自具有經驗、知識和現有技術的攻擊者。 Netlab360 的安全研究人員設置了兩個誘餌系統(honeypots,編輯),以利用 Log4j 邀請對 Java 應用程序的攻擊。 因此,研究人員引誘了九種著名惡意軟件類型的新變種,包括 MIRAI 和 Muhstik。 惡意軟件菌株旨在濫用 Log4j。 一個常見的攻擊目標是加強用於加密挖掘和 DDoS 攻擊的殭屍網絡。 Check Point Software 進行了更大規模的類似調查。 在過去的幾天裡,該安全組織記錄了 846,000 次攻擊。
防禦
很明顯,網絡犯罪分子會尋找並利用易受攻擊的 Log4j 版本。 最可取的防禦是並且仍然是清點環境中的所有 Log4j 應用程序。 如果使用 Log4j 的應用程序的供應商已經發布了更新版本,建議打補丁。 如果沒有,禁用是最安全的選擇。 NCSC 對處理 Log4j 的軟件的漏洞進行了概述。
目前不建議開發自己的軟件措施或調整 Log4j 的操作。 該漏洞有變化。 微軟等公司檢測到用於指示 Java 應用程序運行惡意軟件的規則的多種變體。 Check Point 提到了 60 多種突變。