巨大的 Log4Shell 计算机缺陷比以前想象的还要糟糕
我们不能再以单数形式谈论 Log4Shell 缺陷,而应以复数形式谈论 OF Log4Shell 缺陷。基础设施经理 Cloudflare 刚刚透露,黑客正在利用 Log4j 模块中的第二个漏洞,该模块是 Apache 的一部分,Apache 是 2021 年世界上最常用的 Web 服务器,所有平台的总和。
这个新的漏洞现在引用 CVE-2021-45046,可以在应该修补的 Apache Log4j 2.15.0 版本中执行 DoS(拒绝服务)攻击。该问题已在 2.16.0 版中得到解决。Apache 基金会警告用户:“这个漏洞正在被积极利用,任何使用 Log4j 的人都应该尽快安装 2.16.0 版更新,即使你已经更新了 2.15.0 更新”。
Log4Shell:安全专家并未走到尽头
然而,问题远不仅限于Apache识别出的两个bug。根据安全公司 Praetorian 的说法,该组件的 2.15.0 版本中存在第三个严重错误。这“允许在某些条件下泄露敏感数据”。该漏洞的特征目前仍然含糊不清,以防止黑客像前两个一样迅速地利用它。
因为很多黑客组织都在现场:总共有超过180万次与Log4Shell安全漏洞相关的攻击和攻击未遂。数十种不同的恶意软件已经成为漏洞家族的一部分,以促进其传播。而且完全有可能仍然有一些新的错误有待发现,并且肥皂剧将继续持续几周,甚至几个月。
Dragos 安全研究人员指出,这一系列巨大的安全漏洞凸显了网络基础设施核心组件多样化的必要性——包括开源组件:“这个多功能漏洞,不是供应商特定的,会影响专有和开源软件将使大量行业面临远程开发,其中包括电力、水、食品工业、装配、运输等行业。”
研究人员继续说道:“随着网络防御者关闭导致最简单漏洞利用的道路,并且他们的对手将漏洞纳入他们的攻击中,Log4j 漏洞利用的更复杂变体将出现比这更大的风险。可以直接影响工业监控系统”。