CISA 主管:Log4j 漏洞影响巨大 安全业面临一场持久战
美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。 (截图 via NIST) 在周一的电话会议期间,CISA 主任 Jen Easterly 向记者透露:尽管还有许多攻击未见诸报端,但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。 该漏洞波及数以千万计的互联网联网设备,影响范围之广,使之成为 CISA 史上最糟糕的一次经历。 此外攻击者可能正在等待一个大家都感到懈怠的时机,从而让 Log4Shell 能够在未来更好地用于入侵。 (截图 via CISA) Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件,其同样归咎于开源软件中的一个漏洞,最终导致近 1.5 亿美国人的个人信息泄露。 截至目前,大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的,就是微软旗下的《我的世界》游戏服务器。 与此同时,世界各地也发生了类似的大规模攻击。比如上月,比利时国防部就证实,其系统也因 Log4j 安全漏洞而遭到了破坏。 (消息及封面来源:cnBeta)
Log4j 漏洞可能需要数月甚至数年时间才能妥善解决
网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。 Povolny 表示:“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益…… 进一步的利用似乎已经转向盗窃私人信息。可以预见,这种攻击即将会发生演变”。 Povolny 补充说,该漏洞的影响可能是巨大的,因为它是“可蠕虫式的,可以建立自己的传播”。即使有了补丁,也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大,Povolny 说“可以假定许多组织已经被攻破”,并需要采取事件响应措施。 Povolny 说:“我们相信 log4shell 漏洞将持续数月甚至数年,随着补丁越来越多地推出,在未来几天和几周内将会大幅减少”。自12月9日以来,Sophos 高级威胁研究员 Sean Gallagher 说,使用该漏洞的攻击从试图安装硬币矿工–包括Kinsing矿工僵尸网络–演变为更复杂的努力。 Gallagher 表示:“最近的情报显示,攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害者网络中安装远程访问工具,可能是Cobalt Strike,这是许多勒索软件攻击中的一个关键工具”。 (消息及封面来源:cnBeta)