近日有報道稱,包括蘋果 iCloud、推特、Cloudflare、《我的世界》、以及 Steam 等在內的諸多熱門服務,均易受到一個零日漏洞的影響。
Luna Sec 安全研究人員將這個存在於流行的 Java 日誌庫中的零日漏洞利用稱作“Log4Shell”,且已在 Apache Log4j 中發現。後者是一款開源的日誌實用程式,且被大量應用程式、網站和相關服務所採用。
(來自:Luna Sec)
起初,研究人員僅在微軟旗下的《我的世界》中發現了“Log4Shell”。但由於 Log4j 在幾乎所有基於 Java 的企業應用程式 / 伺服器中“無處不在”,這一零日漏洞的影響範圍還是難以估量的。
Luna Sec 安全研究人員在一篇部落格文章中警告稱:任何使用 Apache Struts 的地方,都可能易受此類攻擊。
目前已被證實易受影響的伺服器,已波及蘋果、亞馬遜、Cloudflare、推特、Steam、百度、網易、騰訊、Elastic 等科技巨頭。
慶幸的是,儘管另有成千上萬的其它組織尚未列出,但在致外媒的一份宣告中,Cloudflare 表示其已給系統打上了更新補丁,且尚未發現任何有被利用的證據。
此外《我的世界》遊戲開發商 Mojang 工作室已透過緊急釋出的安全更新而修復了該錯誤。
Apache 軟體基金會也於今日釋出了緊急安全更新,併為無法立即啟用更新的客戶提供了緩解方案。
美國國家安全域性網路安全主管 Robert Joyce 證實,該機構開發的免費開源逆向工程工具 GHIDRA 也受到了影響:“由於廣泛包含在軟體框架中,Log4j 是一個相當重大的漏洞利用威脅”。
紐西蘭計算機緊急響應小組(CERT)、德國電信 CERT 和 Greynoise 網路監控服務均發出警告 —— 攻擊者正在積極尋找易受 Log4Shell 攻擊的伺服器,約有 100 臺不同的主機正在對網際網路展開掃描。
最後,HackerOne 高階安全技術專家 Kayla Underkoffler 指出 —— 隨著開源軟體在全球關鍵供應鏈中所佔的比例越來越大,其遭遇此類攻擊威脅的位面也在與日俱增。