Log4j零時差漏洞沒補好 又再爆出2漏洞

本周爆出更多Log4j壞消息:漏洞並未修補完全,且新漏洞又出現攻擊行動。

上周有眾多網站使用的Apache Log4j爆發令全球網站管理員及資安人員恐慌的零時差漏洞,Apache基金會已經釋出更新版。不料本周爆出更多壞消息:漏洞並未修補完全,且新漏洞又出現攻擊行動。

研究人員發現,上周釋出的Log4j 2.15.0版至少還有2個漏洞,而且至少有1個已經被駭客用來攻擊真實系統。研究人員呼籲用戶儘速更新到2.16.0版防堵新漏洞CVE-2021-45046。

研究人員指出前一版修補並不完全,以致於在某些非預設組態下攻擊者可能發動阻斷服務(DoS)攻擊,而讓受害服務完全停擺,直到重新開機或採取其他行動。2.16.0可使Log4j不再支援非預設log訊息查詢語法,關閉JDNI功能來解決這個問題。

安全廠商Praetorian還指出,2.15.0甚至還有更嚴重的一項資訊洩露漏洞,可讓攻擊者從受害伺服器上下載資料。研究人員已經將問題技術細節分享給了Apache基金會,並強烈建議用戶儘速升級到2.16.0版。Praetorian此時不願透露太多以免讓事情更加擴大。

內容遞送網路商Cloudflare周三更指出CVE-2021-45046正遭到積極開採,也呼籲企業儘速升級。但Cloudflare並未說明攻擊者是發動DoS攻擊,或是用來竊取資料。

修補不全、新漏洞遭到攻擊之外,微軟再加一則壞消息。微軟安全團隊周三指出,已經偵測到由中國、土耳其、北韓及伊朗政府支持的駭客組織利用Log4j漏洞,準備或正在發動攻擊。另一方面,專門提供攻擊管道(如Mirai、Tsunami和Kinsing等殭屍網路)的駭客也正在開採漏洞。他們的商業模式是出售使用權給勒索軟體攻擊服務(ransomware as a service)組織,以便為最終端「客戶」提供服務。

來源:Ars Technica

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416