粉絲團
(圖/Pixabay)
近來,一個編號「CVE-2021-44228」、名為「Log4Shell」的資安漏洞席捲全球,甚至讓美國國家安全局、國土安全部,以及中國國家互聯網應急中心、德國電信CERT都發出警告,更有資安公司 Tenable 將其評為「近十年最嚴重的單一漏洞」。
據了解,這項漏洞主要的攻擊對象,是各方知名網路服務商伺服器的開源日誌資料庫 Log4j。這項元件可以記錄訊息,並廣泛內嵌在不同的軟體架構,包括蘋果的 iCloud、Twitter、微軟、Steam、騰訊、百度,甚至美國國安局的逆向分析工具 Ghidra,網路服務平台 CloudFlare,都有使用。
統計,共有近 7,000 個應用程式,都存在被攻擊的風險,包含知名的遊戲《Minecrafe》,加拿大魁北克省,亦曾預防性關閉近 4 千臺伺服器,以迴避風險。儘管據傳在阿里雲安全研究團隊揭露這項漏洞後,Apache基金會已開始推送 Log4j 的補丁及更新版,但因各家企業或平台的架構及狀況不同,且牽涉的對象太廣,普遍的修復預估需花上數月甚至數年,近乎是「無所不在」的零日漏洞。
有意攻擊者,並可以傳輸特定的數據到目標伺服器,即可觸發漏洞,例如在網路遊戲的聊天室中,只要傳個訊息,就有能力利用漏洞,遠距執行任意代碼。亦有研究員發現,一天之內已有近 100 臺不同的主機嘗試利用這項漏洞,整體風險極高。
Apache基金會亦給出一些建議,表示企業應立即將伺服器更新到 Log4j v2.15.0 版,而無法立即升級者,也應將 log4j2.formatMsgNoLookups 參數由「false」改為「true」;微軟也已開始針對使用自家雲端平台的遊戲推送更新,但用戶必須先關閉所有的程式,再重新啟動 Minecraft Launcher。
《你可能還想看》
