阿帕奇软件基金会已经发布了包含积极的 利用影响广泛使用的基于Apache Log4j Java的日志库的零日漏洞,该漏洞可能被武器化以执行恶意代码,并允许完全接管易受攻击的系统。
跟踪为CVE-2021-44228这个问题涉及在任何使用开源实用程序的应用程序上未经身份验证的远程代码执行(RCE)的情况,并影响到Log4j 2.0-beta9到2.14.1的版本。该漏洞在CVSS评级系统中的得分为满分10分,这表明了问题的严重性。
"能够控制日志消息或日志消息参数的攻击者可以执行从加载的任意代码轻量级目录访问协议启用消息查找替换时的服务器所在咨询中。从Log4j 2.15.0开始,默认情况下已禁用此行为
利用漏洞可以通过单个文本字符串来实现,如果应用程序是通过易受攻击的Log4j实例登录的,这可能会触发应用程序向恶意外部主机伸出援手,从而有效地授予对手从远程服务器检索有效负载并在本地执行它的能力。项目维护人员认为是阿里巴巴云安全团队的陈昭君发现了这个问题。
Log4j在各种不同的流行软件被一个制造商数量,包括亚马逊、苹果iCloud、加拿大白鲑,Cloudflare,弹性搜索,红衣主教、Steam、特斯拉、Twitter以及视频游戏等《我的世界》。就后者而言,攻击者能够在《我的世界》服务器上获得RCE只需将特制的消息粘贴到聊天框中。
巨大的攻击面
Qualys漏洞和签名高级经理Bharat Jogi表示:“Apache Log4j零日漏洞可能是我们今年看到的最关键的漏洞。“Log4j是一个无处不在的库,被数百万Java应用程序用来记录错误消息。这个漏洞很容易被利用。”
网络安全公司BitDefender,思科Talos,女猎手实验室,和Sonatype都证实了大量扫描易受攻击的服务器和针对其蜜罐网络的攻击有效性概念证明(验证性测试(Proof of Concept的缩写))剥削。“这是一种低技能的攻击,执行起来极其简单,”Sonatype的Ilkka Turunen说。
灰色噪音,将缺陷比作弹震症,它所观察到的恶意活动从2021年12月9日开始锁定该漏洞。网络基础设施公司Cloudflare著名的它在世界协调时周五下午6:00左右每分钟阻止了大约20,000个利用请求,其中大多数利用尝试来自加拿大、美国、荷兰、法国和英国
鉴于Log4j在企业IT和DevOps中的易开发性和流行性,野外攻击针对易受影响的服务器的攻击预计将在未来几天增加,因此必须立即解决该缺陷。以色列网络安全公司Cybereason也发布了一个名为“网络安全”的补丁Logout4Shell“这通过使用漏洞本身来重新配置记录器并防止进一步利用攻击来消除缺点。
“这个Log4j (CVE-2021-44228)漏洞极其恶劣。数以百万计的应用程序使用Log4j进行日志记录,攻击者所需要做的就是让应用程序记录一个特殊的字符串,”安全专家Marcus Hutchins说说在推文中。