Apache软件基金会已经发布了修复程序,以遏制一个被积极利用的零日漏洞,该漏洞影响到广泛使用的基于Java的Apache Log4j日志库,该漏洞可被武器化以执行恶意代码并允许完全接管易受攻击的系统。
该问题被追踪为CVE-2021-44228,并被称为Log4Shell或LogJam,它涉及到对任何使用该开源工具的应用程序进行未经授权的远程代码执行(RCE)的情况,并影响到Log4j 2.0-beta9至2.14.1版本。该漏洞在CVSS评级系统中获得了10分的满分,表明了该问题的严重性。
Apache基金会在一份公告中说:“当消息查找替换功能被启用时,能够控制日志消息或日志消息参数的攻击者可以执行从LDAP服务器加载的任意代码。从Log4j 2.15.0开始,这种行为已被默认禁用。”
漏洞利用可以通过单个文本字符串来实现,如果通过Log4j的脆弱实例进行记录,它可以触发应用程序接触到一个恶意的外部主机,有效地赋予对手从远程服务器检索有效载荷并在本地执行的能力。该项目维护者认为是阿里巴巴云安全团队的陈兆军发现了这个问题。
Log4j被许多厂商用作各种不同的流行软件的日志包,包括亚马逊、苹果iCloud、思科、Cloudflare、ElasticSearch、红帽、Steam、特斯拉、Twitter和视频游戏,如Minecraft。就后者而言,攻击者只需将特制的信息粘贴到聊天框中,就能在Minecraft服务器上获得RCE。
巨大的攻击面
“Apache Log4j零日漏洞可能是我们今年看到的最严重的漏洞,”Qualys漏洞和签名高级经理Bharat Jogi说。“Log4j是一个无处不在的库,被数以百万计的Java应用程序用于记录错误消息。这个漏洞太容易被利用了。”
网络安全公司BitDefender、Cisco Talos、Huntress Labs和Sonatype都证实,在概念验证(PoC)漏洞出现后,有证据表明在野外对受影响的应用程序进行了大规模扫描,并对其蜜罐网络注册了攻击。Sonatype公司的Ilkka Turunen说:“这是一种低技能的攻击,执行起来非常简单。”
防止数据泄露
GreyNoise将该漏洞比作Shellshock,表示它观察到针对该漏洞的恶意活动于2021年12月9日开始。网络基础设施公司Cloudflare指出,它在周五下午6点左右(UTC)左右每分钟阻止了大约20000个漏洞利用请求,,其中大多数利用请求来自加拿大、美国、荷兰、法国和英国。
Log4J漏洞
鉴于Log4j容易被利用以及在企业IT和DevOps中的普遍性,预计针对易受影响的服务器的野蛮攻击将在未来几天内增加,因此必须立即解决这一漏洞。以色列网络安全公司Cybereason也发布了一个名为“Logout4Shell”的修复程序,通过利用漏洞本身来重新配置记录器,防止进一步利用攻击,从而弥补了这个缺陷。
“这个Log4j(CVE-2021-44228)漏洞非常严重。数以百万计的应用程序使用Log4j进行日志记录,攻击者需要做的就是让应用程序记录一个特殊的字符串。”安全专家Marcus Hutchins在一条推文中说。