周六,美国网络安全和基础设施安全局(CISA)发布声明,警告了一个可能影响苹果iCloud、微软Minecraft、百度、IBM、Amazon Web Service等众多服务的严重软件漏洞。黑客可能利用此漏洞控制网站。
CISA主任Jen Easterly在声明中写道:“我们已将此漏洞添加到已知的被利用漏洞目录中,这强制联邦民事机构——并向非联邦合作伙伴发出信号——紧急修补或修复此漏洞。”该漏洞与log4j有关,软件工程师保护网站免受其侵害的一种方法是升级到最新版本的log4j(2.15.0)。“我们正在主动联系网络可能存在漏洞的实体,并利用我们的扫描和入侵检测工具来帮助政府和行业合作伙伴识别漏洞暴露或被利用的情况。”
该漏洞最初由阿里巴巴安全团队发现。以下是你需要了解的关于此漏洞和log4j的知识。
Log4j是一个开源工具,Java程序使用它来进行日志记录,即记录应用程序所做的一切。 (开源工具是免费的,任何人都可以查看,以发现bug或漏洞。)
F5公司(一家互联网基础设施和安全公司)的全球人工智能负责人Shuman Ghosemajumder解释说:“你需要记录各种不同的目的,比如在应用程序出现问题时进行调试,或者了解应用程序的使用情况。你可以创建自己的机制来记录信息,也可以使用别人创建的日志程序,比如log4j。”
[相关:你需要防范零点击攻击]
当信息被传递给log4j时,它通常需要通过log4j执行日志记录操作的网站。
然而——这正是这个严重漏洞发挥作用的地方——如果有人以一种特殊字符序列的形式向该库发送一个命令,而不是仅仅记录这些信息,log4j会将其作为程序代码来执行。
将这个字符串想象成一把万能钥匙,可以打开程序,让任何攻击者在网站服务器上插入他们自己控制的程序。理论上,他们可以运行软件来完全控制该网站或应用程序。
此外,攻击者可以扫描互联网上的所有网站,试图找到那些对这种特殊字符序列做出响应的网站。
Ghosemajumder说:“这被称为远程代码执行攻击。特别危险的是,它可以让网络攻击者获得对网站和你账户的非常高级别的访问权限。”
例如,黑客可以绕过登录银行网站或电子邮件账户等使用log4j的账户所需的正常机制。由于攻击者可能在没有登录凭据的情况下访问私人账户,Ghosemajumder建议消费者密切关注重要账户的异常活动。
对于公司和组织而言,除了更新软件外,他们还可以使用网络安全工具来过滤到他们网站的流量,寻找该字符串,并阻止其到达log4j。Ghosemajumder说:“这就是世界各地的网络安全团队目前正在做的事情。希望他们做得足够快,能够保护大多数人。”
