Log4j 零時差漏洞沒補好　又再爆出 2 漏洞

上周有眾多網站使用的 Apache Log4j 爆發令全球網站管理員及資安人員恐慌的零時差漏洞，Apache 基金會已經釋出更新版。不料本周爆出更多壞消息：漏洞並未修補完全，且新漏洞又出現攻擊行動。

研究人員發現，上周釋出的 Log4j 2.15.0 版至少還有 2 個漏洞，而且至少有 1 個已經被駭客用來攻擊真實系統。研究人員呼籲用戶儘速更新到 2.16.0 版防堵新漏洞 CVE-2021-45046。

研究人員指出前一版修補並不完全，以致於在某些非預設組態下攻擊者可能發動阻斷服務 (DoS) 攻擊，而讓受害服務完全停擺，直到重新開機或採取其他行動。2.16.0 可使 Log4j 不再支援非預設 log 訊息查詢語法，關閉 JDNI 功能來解決這個問題。

安全廠商 Praetorian 還指出，2.15.0 甚至還有更嚴重的一項資訊洩露漏洞，可讓攻擊者從受害伺服器上下載資料。研究人員已經將問題技術細節分享給了 Apache 基金會，並強烈建議用戶儘速升級到 2.16.0 版。Praetorian 此時不願透露太多以免讓事情更加擴大。

內容遞送網路商 Cloudflare 周三更指出 CVE-2021-45046 正遭到積極開採，也呼籲企業儘速升級。但 Cloudflare 並未說明攻擊者是發動 DoS 攻擊，或是用來竊取資料。

修補不全、新漏洞遭到攻擊之外，微軟再加一則壞消息。微軟安全團隊周三指出，已經偵測到由中國、土耳其、北韓及伊朗政府支持的駭客組織利用 Log4j 漏洞，準備或正在發動攻擊。另一方面，專門提供攻擊管道（如 Mirai、Tsunami 和 Kinsing 等殭屍網路）的駭客也正在開採漏洞。他們的商業模式是出售使用權給勒索軟體攻擊服務 (ransomware as a service) 組織，以便為最終端「客戶」提供服務。

來源：Ars Technica