科技

10年来最猛烈的攻击 Log4shell漏洞如何影响您的手机和电脑?

Published On 2021年12月23日

说到科技新闻,安全漏洞和网络攻击在过去两年中从未如此引人注目。最近几天,大大小小公司的信息安全团队都在争先恐后地修复一个以前未知的名为Log4Shell的漏洞,该漏洞有可能让黑客破坏连接互联网的数百万台设备。

这个众所周知的漏洞处于一个被广泛使用的名为Log4j的Java日志库,这使得黑客可以更容易地控制库设置和技术故障,使他们能够在受害者不知情的情况下在受害者的服务器上运行恶意代码。

但是,是什么让这个漏洞特别危险呢?据信息安全专家、Seekurity公司创始人穆罕默德·阿卜杜勒·巴西特称,该漏洞的主要问题“与其在开源框架(Log4j)中执行远程命令(Remote Code Execution)的能力有关,可以用于数据记录,这些数据对项目所有者、开发人员或某些服务的工作人员以后的工作很有用。”这里出现了最重要的问题:新闻在哪里?

最危险的攻击

(社交网站)

正如我们所指出的,Log4j是一个基于著名编程语言Java的库或框架。Cloudflare首席技术官约翰·格雷厄姆·卡明告诉The Verge网站:“有大量的Java程序连接到互联网。当我回顾过去10年时,我只能想到另外两起具有相同强度的黑客攻击,即允许从本应安全的服务器获取信息的‘心血漏洞’(Heartbleed),以及允许黑客在远程设备上运行代码的Shellshock攻击。”

要利用新发现的这个漏洞,攻击者必须强制应用程序在记录中保存特殊字符。由于应用程序通常会记录大量事件,例如用户发送和接收的消息或系统错误的详细信息,因此很容易以多种方式利用和操作该漏洞。

分布式拒绝服务攻击(DDoS)尤其令人担忧,因为该漏洞允许黑客下载和安装软件,然后将数量庞大(数以千计甚至数百万计)的通过互联网被黑客入侵的设备组成僵尸网络,每台设备都被称为“傀儡机”,为所谓的Boot master提供服务,而Boot master使用命令和控制来管理这个网络并进行攻击,您的设备沦为即将到来的黑客攻击的工具。

然后,分布式拒绝服务攻击的操作者可以直接破坏从公用服务到电网的关键基础设施。在更有限的范围内,零售商可能在节假日到来前成为攻击目标,因为这个时候人们很容易分心,感到疲倦,并且更容易犯安全错误。

(社交网站)

分布式拒绝服务攻击

在专家看来,这个漏洞的破坏性不亚于福岛灾难。十年前,地震和随后的海啸导致福岛核电站倒塌,事故造成的影响至今仍然存在。同样,对该漏洞的早期利用可能会随着时间的推移,演变为对更敏感系统的更复杂的攻击形式。

令人震惊的是,该漏洞并不是最近才发现的。回溯历史,我们发现该漏洞自2013年以来就存在于Log4j服务中,但直到今年11月阿里巴巴信息安全研究员首次发现该漏洞,12月9日它才被公开。由于漏洞的严重性,负责软件库的Apache基金会给它的严重性评为10/10。但遗憾的是,此时,互联网上的许多公司、站点和服务都无法解决这个波及全球数亿台设备的漏洞。阿卜杜勒·巴西特称,漏洞本身极度复杂,并且有许多替代方法可以绕过修复它的代码。

攻击效果

阿卜杜勒·巴西特在接受 半岛电视台采访时对这次攻击评价道, “受该漏洞影响的最著名公司和服务有:亚马逊网络服务、Cloudflare、苹果 iCloud、游戏流媒体Steam、中国巨头腾讯、 QQ服务,甚至游戏也不能幸免,包括著名的‘我的世界’。”他补充说:“有黑客利用漏洞渗透服务器,要么将它们变成大型僵尸网络中的傀儡机,也有黑客通过特别的操作系统,消耗服务器资源去挖掘加密数字货币,并从中获利。”

此漏洞对抵御黑客提出了不同类型的挑战,因为许多软件漏洞仅限于特定产品或系统,例如由微软研发的消息传递和协作软件产品Microsoft Exchange中的ProxyLogon和ProxyShell漏洞。在这种情况下,一旦防御者知道哪些软件有风险,他们就可以检查和修补它,但Log4j漏洞是许多产品使用的日志库,它可能存在于企业基础设施最不起眼的角落里,例如任何内部开发的软件中。

(社交网站)

一旦攻击者能确保对网络的访问,任何感染都可能随之而来。因此,在Apache发布软件更新外,信息技术安全团队还需要对公司网络上的活动进行彻底审查,以检测和删除任何入侵者的痕迹。

在采访中,阿卜杜勒·巴西特补充道:“该漏洞的解决方案已于12月6日(漏洞公开前3天)发布,但事情并不止于此,又一个漏洞被发现(标识符为CVE-2021-45046),该漏洞的影响比第一个要小,只允许进行拒绝服务攻击。”此外,第三个漏洞被发现,而且和第一个漏洞一样严重。那么,问题来了:这些漏洞对普通用户有什么影响?

我的设备会怎么样?

阿卜杜勒·巴西特在给半岛电视台的一份声明中回答说:“当然,对普通用户的伤害将是公司忽视漏洞而不是填补它的结果。漏洞会给攻击者提供在公司服务器上实施恶意代码的机会,服务器上包含敏感的用户数据,黑客能够窃取数据,甚至通过无数场景入侵用户的设备。”

小心网络攻击

阿卜杜勒·巴西特补充道:“尽管如此,最大的危害并不直接落在普通用户身上,而是更多地落在公司身上,之后才是用户。用户应该遵循的建议是更新所有使用Log4j框架的应用程序,这可以避免该漏洞受到任何利用。”好消息是,即使存在该漏洞,对普通用户的伤害也是有限的,这是因为该漏洞要求利用者(攻击者)能够直接访问使用Log4j的网页服务器,这在普通用户中是不正常的,但始终保持预防是一种责任,更是是好的治疗。

Log4j虽然是开源的,但漏洞从2013年就存在了,直到2021年11月才被人发现。这表明,所有产品都存在漏洞,开源软件并没有像闭源软件一样幸免于难。唯一的区别是响应速度和修复漏洞的能力,以及在开源中,开发人员协作解决问题的速度更快。 最后,阿卜杜勒·巴西特补充道:“漏洞总是存在于一切事物中,它们正在等待有人发现它们。”

新的漏洞总会出现,黑客总会寻找新的漏洞。在漏洞和网络攻击已成为日常事务的世界里,各个组织都需要评估应用程序的整体安全策略并努力改进安全措施,以保持生存能力和竞争力。

来源 : 半岛电视台