[新聞] 影響恐遍及全網 Log4j資安漏洞重點一次看

作者: peter98 (新兵)   2021-12-17 14:11:32
應該所有軟體公司上周五下午都把工程師叫回去晚上加班吧
然後周末連著兩天也都是
西西 剛好oncall 手機響到我懷疑人生
又遇上周五deployment freeze
我直接page老闆好爽 叫他起來上班
反正周二趕著做完
週三靜靜看著做不完的其他組被highlight 西西
新聞:
https://udn.com/news/story/7086/5966368
被廣泛使用的軟體Log4j中的一個嚴重漏洞,讓資安專家發出警訊,各大企業也紛紛忙著
要解決這個問題。
上週末通報的這項漏洞存在於以Java語言開發的日誌框架Log4j中,大型機構會使用該軟
體來設定應用程式;這個漏洞對網路的絕大部分領域構成潛在風險。
根據資安研究人員說法,蘋果公司(Apple)的雲端運算服務、資安公司Cloudflare,以
及全球最受歡迎的電玩遊戲Minecraft是使用Log4j的眾多服務之一。
美國國土安全部網路安全和基礎設施安全局(CISA)局長伊斯特利(Jen Easterly)表示
,這是她職涯看過「最嚴重的漏洞之一」。伊斯特利11日發表聲明指出,有「愈來愈多」
駭客正在積極嘗試利用這個漏洞。
根據資安公司Check Point本週的數據,截至14日為止,每分鐘就發生超過100次駭客嘗試
攻擊。
資安公司TrustedSec執行長甘迺迪(David Kennedy)指出,這個問題需要幾年時間才能
解決,然而駭客會每天持續尋求利用這個漏洞,對企業來說猶如定時炸彈。
● Log4j是什麼?為什麼重要?
根據資安專家說法,Log4j是最受歡迎的網路紀錄檔記錄工具之一。Log4j提供軟體開發者
方法來建立活動紀錄,以用在各種目的上,諸如問題排除、審核和數據追蹤。由於它是免
費開放資源,Log4j基本上觸及網路各個領域。
資安公司Veracode研究總監克里斯.伍(ChrisEng,音譯)向美國有線電視新聞網商業頻
道(CNNBusiness)表示:「它無所不在。就算你是沒有直接使用Log4j的開發者,也有可
能在操作這個脆弱的程式碼,因為你使用的其中一個開放原始碼程式庫仰賴Log4j。這就
是軟體的性質,它會無限延續下去。」
● 駭客在利用這個漏洞嗎?
根據Cloudflare說法,早在此事曝光的一週前,駭客似乎已經開始利用這項軟體漏洞。如
今隨著每天發生的駭客嘗試攻擊次數如此之高,有些人擔心最糟的情況還在後頭。
微軟公司(Microsoft)14日晚間在部落格更新文章中表示,來自中國、伊朗、北韓和土
耳其獲國家撐腰的駭客嘗試利用Log4j漏洞。
● 為何這項資安漏洞如此嚴重?
專家特別擔心這項漏洞,因為駭客能輕易進入一間企業的電腦伺服器,讓他們得以進入網
路其他領域;據甘迺迪說法,要找出漏洞或確認一個系統是否已經遭到損害也相當困難。
除此之外,14日晚間又發現Log4j系統的第2個漏洞。開發Log4j和其他開放原始碼軟體的
非營利組織阿帕契軟體基金會(Apache Software Foundation)已經釋出安全補丁供各個
機構使用。
● 企業行號如何試著解決問題?
Minecraft上週發表部落格貼文,宣布在其遊戲一個版本中發現漏洞,已迅速發出補丁。
其他企業也採取類似做法。
國際商業機器公司(IBM)、甲骨文公司(Oracle)、亞馬遜網路服務(AWS)和
Cloudflare都對客戶發出建議,部分推出安全更新,或概述他們可能推出補丁的計畫。
甘迺迪說:「這是如此嚴重的漏洞,但這不像傳統重大漏洞一樣點個按鈕就能修補,而是
需要很多時間與功夫。」
為了提高透明度並減少不實訊息,CISA表示會設立一個公共網站,針對哪些軟體產品受到
該漏洞影響,以及駭客如何利用這些漏洞,不時發表更新。
● 接下來呢?
美國政府已經對受到影響的企業發出警示,要求在假期期間對勒索軟體和網路攻擊提高警
覺。
有人擔心會有愈來愈多的惡意行為人用新的方法來利用這項漏洞,雖然大型科技公司或許
本有安全團隊來處理這些潛在威脅,但許多其他機構卻沒有。
資安公司Red Canary情報主任尼克爾斯(KatieNickels)表示:「我最擔心的是學區、醫
院,以及只有一位資訊人員的地方,此人負責資安,沒有時間、安全預算或工具來處理。
這些是我最擔心的組織,也就是只有小額安全預算的小型組織。」

Links booklink

Contact Us: admin [ a t ] ucptt.com