近日有報道稱,包括蘋果 iCloud、推特、Cloudflare、《我的世界》、以及 Steam 等在內的諸多熱門服務,均易受到一個零日漏洞的影響。Luna Sec 安全研究人員將這個存在於流行的 Java 日誌庫中的零日漏洞利用稱作“Log4Shell”,且已在 Apache Log4j 中發現。後者是一款開源的日誌實用程序,且被大量應用程序、網站和相關服務所採用。
(來自:Luna Sec)
起初,研究人員僅在微軟旗下的《我的世界》中發現了“Log4Shell”。但由於 Log4j 在幾乎所有基於 Java 的企業應用程序 / 服務器中“無處不在”,這一零日漏洞的影響範圍還是難以估量的。
Luna Sec 安全研究人員在一篇博客文章中警告稱:任何使用 Apache Struts 的地方,都可能易受此類攻擊。
目前已被證實易受影響的服務器,已波及蘋果、亞馬遜、Cloudflare、推特、Steam、百度、網易、騰訊、Elastic 等科技巨頭。
慶幸的是,儘管另有成千上萬的其它組織尚未列出,但在致外媒的一份聲明中,Cloudflare 表示其已給系統打上了更新補丁,且尚未發現任何有被利用的證據。
此外《我的世界》遊戲開發商 Mojang 工作室已通過緊急發布的安全更新而修復了該錯誤。
Apache 軟件基金會也於今日發布了緊急安全更新,並為無法立即啟用更新的客戶提供了緩解方案。
美國國家安全局網絡安全主管 Robert Joyce 證實,該機構開發的免費開源逆向工程工具 GHIDRA 也受到了影響:“由於廣泛包含在軟件框架中,Log4j 是一個相當重大的漏洞利用威脅”。
新西蘭計算機緊急響應小組(CERT)、德國電信 CERT 和 Greynoise 網絡監控服務均發出警告 —— 攻擊者正在積極尋找易受 Log4Shell 攻擊的服務器,約有 100 台不同的主機正在對互聯網展開掃描。
最後,HackerOne 高級安全技術專家 Kayla Underkoffler 指出 —— 隨着開源軟件在全球關鍵供應鏈中所佔的比例越來越大,其遭遇此類攻擊威脅的位面也在與日俱增。