Apache Log4j 軟體爆出核彈級漏洞　恐影響數百萬台裝置

上周五 (12/10) Apache 基金會緊急修補 Log4j 日誌資料庫一個被安全專家視為近 10 年最嚴重漏洞，美國政府官員擔心可能影響全球數百萬裝置。

這項漏洞是出在廣為眾多知名網站及產品使用的 Apache Log4j 日誌資料庫中的 JNDI (Java Naming and Directory Interface)， JNDI 可作為網站的設定及日誌紀錄。編號 CVE-2021-44228 的漏洞出在 Log4j 未能檢查 JNDI 端點發送的 log 訊息參數，以致駭客可以從端點伺服器發送惡意 log 訊息開採，而在 Apache Log4j 伺服器上執行程式碼，最嚴重可取得伺服器控制權。CVE-2021-44228 又被稱為 Log4Shell。

Log4Shell 漏洞容易被濫用，簡直就是管理惡夢

由於開採容易，安全業者將 Log4Shell 安全風險列為最重大的 10 分，是 10 年來繼 HeartBleed 以來最嚴重的漏洞。該漏洞影響 Log4j 2.14.1 以前的版本，Apache 基金會上周釋出 2.15.0 版修補。

Log4Shell 是在 12/10 公佈，不過 Cloudflare 卻指出該公司偵測最早開採行動可追溯到 12 月 1 日，因此可能早就有網站甚至企業受害。

目前微軟已經偵測到駭客開採 Log4Shell 漏洞，安裝採礦程式、滲透測試框架 Cobalt Strike 以竊取帳號密碼，或在受害者企業網路上橫向移動，或是外洩機敏資料。

Log4Shell 可能給投機的罪犯下手的好機會，但美國國土安全部網路安全暨基礎架構安全署 (CISA) 官員擔心，「手法高明的」國家駭客也不會放過這個好機會。

CISA 主任 Jen Easterly 指出，這漏洞是她 20 年聯邦政府安全官生涯中看過最嚴重的漏洞之一。CISA 預期這漏洞將廣為國家駭客利用，但美國政府卻沒有時間可在釀成重大災害前採取必要防禦措施。CISA 也緊急要求美國重大基礎架構持有者及營運者應儘速升級到最新版 Apache Log4j 或採取緩解措施。

此外 CISA 漏洞管理辦公室 Jay Gazlay 警告全球數千萬台裝置可能受到波及。

影響層面廣泛  最好盡快修補受影響軟體

Log4Shell 漏洞影響全球最知名的網站，包括 Apple iCloud、Microsoft《Minecraft》遊戲及 Azure、Valve Steam 平台、Twitter、Amazon、Redis、CloudFlare 等。此外許多重要企業產品也包含 Log4j，像是 Oracle、IBM、Red Hat、VMware、Cisco、Splunk。Google Cloud 則表示還在研究公司產品及服務受到的影響。

Google 正和 VMwrae 合作修補 Google Cloud VMWare Engine。微軟則已修補了 Minecraft 的 Log4Shell 漏洞。除了雲端服務及產品廠商要注意，一般用戶也必須將產品升級到最新版，如果產品廠商有推出更新版軟體的話。

Log4Shell 漏洞也突顯軟體供應鏈的安全問題，一項眾多產品使用的通用軟體元件一旦出現漏洞，則這些產品及客戶也將曝險。

但修補所有受影響裝置並沒有捷徑。SANS Internet Storm 中心指出，沒有一個通用的「Log4j2」修補程式可以一次修補所有產品。廠商包括 Log4j 都必須個別修補自己的產品。Rapid 7 也說，企業要有心理準備得不停接收一連串各個內建 Log4j 的產品廠商的安全公告。

由於企業總是拖拖拉拉安裝修補程式，這意謂著攻擊者有幾個月甚至幾年好整以暇來尋找及攻擊未修補的目標裝置。

此外，奧地利、紐西蘭、加拿大、英國、瑞典、德國、新加坡等國官方都相繼發出安全公告。加拿大稅務署及魁北克省上周也在得知漏洞時，預防性將一些伺服器關閉下線。

來源：ZDNet