Apache Log4j 軟體爆出核彈級漏洞　恐影響數百萬台裝置

上周五(12/10) Apache 基金會緊急修補Log4j日誌資料庫一個被安全專家視為近10年最嚴重漏洞，美國政府官員擔心可能影響全球數百萬裝置。

這項漏洞是出在廣為眾多知名網站及產品使用的Apache Log4j日誌資料庫中的JNDI (Java Naming and Directory Interface)， JNDI可作為網站的設定及日誌紀錄。編號CVE-2021-44228的漏洞出在Log4j未能檢查JNDI端點發送的log訊息參數，以致駭客可以從端點伺服器發送惡意log訊息開採，而在Apache Log4j伺服器上執行程式碼，最嚴重可取得伺服器控制權。CVE-2021-44228又被稱為Log4Shell。

Log4Shell漏洞容易被濫用，簡直就是管理惡夢

由於開採容易，安全業者將Log4Shell安全風險列為最重大的10分，是10年來繼HeartBleed以來最嚴重的漏洞。該漏洞影響Log4j 2.14.1以前的版本，Apache基金會上周釋出2.15.0版修補。

Log4Shell是在12/10公佈，不過Cloudflare卻指出該公司偵測最早開採行動可追溯到12月1日，因此可能早就有網站甚至企業受害。

目前微軟已經偵測到駭客開採Log4Shell漏洞，安裝採礦程式、滲透測試框架Cobalt Strike以竊取帳號密碼，或在受害者企業網路上橫向移動，或是外洩機敏資料。

Log4Shell可能給投機的罪犯下手的好機會，但美國國土安全部網路安全暨基礎架構安全署(CISA)官員擔心，「手法高明的」國家駭客也不會放過這個好機會。

CISA主任Jen Easterly指出，這漏洞是她20年聯邦政府安全官生涯中看過最嚴重的漏洞之一。CISA預期這漏洞將廣為國家駭客利用，但美國政府卻沒有時間可在釀成重大災害前採取必要防禦措施。CISA也緊急要求美國重大基礎架構持有者及營運者應儘速升級到最新版Apache Log4j或採取緩解措施。

此外CISA漏洞管理辦公室Jay Gazlay警告全球數千萬台裝置可能受到波及。

影響層面廣泛  最好盡快修補受影響軟體

Log4Shell漏洞影響全球最知名的網站，包括Apple iCloud、Microsoft 《Minecraft》遊戲及Azure、Valve Steam平台、Twitter、Amazon、Redis、CloudFlare等。此外許多重要企業產品也包含Log4j，像是Oracle、IBM、Red Hat、VMware、Cisco、Splunk。Google Cloud則表示還在研究公司產品及服務受到的影響。

Google正和VMwrae合作修補Google Cloud VMWare Engine。微軟則已修補了Minecraft的Log4Shell漏洞。除了雲端服務及產品廠商要注意，一般用戶也必須將產品升級到最新版，如果產品廠商有推出更新版軟體的話。

Log4Shell漏洞也突顯軟體供應鏈的安全問題，一項眾多產品使用的通用軟體元件一旦出現漏洞，則這些產品及客戶也將曝險。

但修補所有受影響裝置並沒有捷徑。SANS Internet Storm中心指出，沒有一個通用的「Log4j2」修補程式可以一次修補所有產品。廠商包括Log4j都必須個別修補自己的產品。Rapid 7也說，企業要有心理準備得不停接收一連串各個內建Log4j的產品廠商的安全公告。

由於企業總是拖拖拉拉安裝修補程式，這意謂著攻擊者有幾個月甚至幾年好整以暇來尋找及攻擊未修補的目標裝置。

此外，奧地利、紐西蘭、加拿大、英國、瑞典、德國、新加坡等國官方都相繼發出安全公告。加拿大稅務署及魁北克省上周也在得知漏洞時，預防性將一些伺服器關閉下線。

來源：ZDNet