就在我們了解到國(guó)家支持的黑客已經(jīng)開(kāi)始研究上周震驚網(wǎng)絡(luò)安全界的Log4j漏洞問(wèn)題時(shí)，其他研究人員發(fā)出了一個(gè)令人不安的發(fā)展信號(hào)。Log4j黑客，也被稱為L(zhǎng)og4Shell已經(jīng)有一個(gè)補(bǔ)丁，已經(jīng)可以部署到企業(yè)。但事實(shí)證明，這個(gè)補(bǔ)丁玩起了“套娃”：它解決原有問(wèn)題的同時(shí)又產(chǎn)生新的安全問(wèn)題，且可以被外部利用。因此，希望保護(hù)他們的系統(tǒng)免受Log4j攻擊的公司必須部署一個(gè)新的補(bǔ)丁，修復(fù)之前的補(bǔ)丁。

正如我們?cè)谝郧暗膱?bào)道中所解釋的，Log4j黑客是非常危險(xiǎn)的。這是因?yàn)樗鼛缀跤绊懙剿刑峁┗ヂ?lián)網(wǎng)服務(wù)的公司。這個(gè)安全漏洞存在于一個(gè)被廣泛使用的Java日志工具中。自上周四披露以來(lái)，網(wǎng)絡(luò)安全研究人員已經(jīng)目睹了數(shù)十萬(wàn)次利用該漏洞的嘗試。這包括來(lái)自國(guó)家支持的黑客的攻擊，與大多數(shù)黑客相比，他們擁有大量可支配的資源。只要互聯(lián)網(wǎng)公司不對(duì)他們的系統(tǒng)應(yīng)用現(xiàn)有的Log4j補(bǔ)丁，他們就會(huì)面臨風(fēng)險(xiǎn)。

黑客可以利用Log4j黑客技術(shù)，在沒(méi)有密碼的情況下進(jìn)入計(jì)算機(jī)服務(wù)器。從那里，他們可以安裝其他惡意程序。這些工具將讓他們竊取信息，進(jìn)行勒索軟件攻擊，或挖掘加密貨幣。根據(jù)最初描述安全問(wèn)題的報(bào)告，有人利用了《Minecraft》里面的漏洞。微軟很快給Minecraft打了補(bǔ)丁，并不斷發(fā)布關(guān)于Log4j漏洞在外部世界的安全更新。

普通的終端用戶無(wú)法自己修復(fù)Log4j黑客的問(wèn)題。這并不像將操作系統(tǒng)或應(yīng)用程序更新到最新、最安全的版本那樣容易。是互聯(lián)網(wǎng)公司必須部署最新的Log4j補(bǔ)丁來(lái)保護(hù)服務(wù)器。

但安全研究人員已經(jīng)發(fā)現(xiàn)，Apache基金會(huì)上周發(fā)布的Log4j 2.15.0補(bǔ)丁至少有兩個(gè)需要修復(fù)的漏洞。報(bào)告說(shuō)，已經(jīng)安裝了Log4j 2.15.0的企業(yè)應(yīng)該盡快安裝2.16.0版本。

根據(jù)一些研究人員的說(shuō)法，Log4j 2.15.0的補(bǔ)丁"在某些非默認(rèn)配置中"并不完整。反過(guò)來(lái)，這使得攻擊者可以對(duì)打了補(bǔ)丁的系統(tǒng)發(fā)動(dòng)攻擊。來(lái)自Praetorian的安全研究人員也詳細(xì)介紹了新的安全問(wèn)題，他們解釋說(shuō)，黑客仍然可以從已經(jīng)部署了Log4j 2.15.0補(bǔ)丁的服務(wù)器上竊取數(shù)據(jù)。

"在我們的研究中，我們已經(jīng)證明2.15.0在某些情況下仍然可以實(shí)現(xiàn)敏感數(shù)據(jù)的滲出，"研究人員說(shuō)。"我們已經(jīng)把這個(gè)問(wèn)題的技術(shù)細(xì)節(jié)傳遞給了Apache基金會(huì)，但在這期間，我們強(qiáng)烈建議客戶盡快升級(jí)到2.16.0。"

Praetorian發(fā)布了對(duì)Log4j 2.15.0補(bǔ)丁的概念證明攻擊，但沒(méi)有披露使其成為可能的技術(shù)細(xì)節(jié)。

了解更多：https://github.com/cckuailong/Log4j_CVE-2021-45046