专家称 log4shell 漏洞将持续“数月甚至数年”
Log4j 中近日被曝出了一个远程代码执行漏洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数月甚至数年的时间才能完全解决这一隐患。
McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 称,Log4Shell 的危害性堪比 Shellshock、Heartbleed 和 EternalBlue。“攻击者几乎立即开始利用该漏洞进行非法加密货币挖掘,或使用互联网上的合法计算资源生成加密货币以获取经济利益......进一步的利用似乎已转向窃取私人信息......我们完全期待看到攻击的演变。”
并表示,该漏洞的影响可能是巨大的;因为它是可蠕虫的,并且可以自行传播。即使有了补丁,易受攻击的组件也有几十个版本。鉴于目前已经观察到的攻击数量庞大,Povolny 认为可以假定许多组织已经遭到破坏,并且需要采取事件响应措施;“我们相信 log4shell 攻击将持续数月甚至数年”。
Sophos 高级威胁研究员 Sean Gallagher 指出,自 12 月 9 日以来,利用该漏洞的攻击已从尝试安装 coin miners(包括 Kinsing 矿工僵尸网络)演变为更复杂的手段。“最近的情报表明,攻击者正试图利用该漏洞来暴露 Amazon Web Service 帐户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害网络中安装远程访问工具,可能是 Cobalt Strike —— 许多勒索软件攻击的一个关键工具。”
Sophos 首席研究科学家 Paul Ducklin 则补充道,包括 IPS、WAF 和智能网络过滤在内的技术都“有助于控制这一全球漏洞”。
HackerOne 的 CISO Chris Evans 表示,他们已收到 692 份关于 Log4j 的报告,涉及 249 个客户程序;并指出苹果、亚马逊、Twitter 和 Cloudflare 等大公司也都已确认他们存在有漏洞。
"这个漏洞的可怕之处在于:首先,它真的很容易被利用;攻击者所要做的就是把一些特殊的文本粘贴到应用程序的各个部分,然后等待结果。其次,很难知道什么是受影响的,什么是不受影响的;该漏洞位于与许多其他软件包捆绑在一起的核心库中,这也使修复变得更加复杂。第三,你的许多第三方供应商很可能受到影响。"
Imperva 首席技术官 Kunal Anand 也透露,在推出了更新的安全规则之后的 13 个多小时内,该公司就已经观察到超过 140 万次针对 CVE-2021-44228 的攻击。
“我们观察到峰值达到每小时大约 28 万次攻击。与同类其他 CVE 一样,我们预计这个数字会增长,尤其是在未来几天和几周内随着新变种的出现。”

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Google 工具栏已停止服务,一个时代的落幕
2000 年 12 月 11 日,Google 为 IE 浏览器推出了一个工具栏 —— Google Toolbar for Internet Explorer,首个版本针对 IE 5 浏览器发布,这个工具最初是为了让用户更轻松快速地搜索内容。 21 年后当我们再说起这个工具的名字,可能很多人都不太能想起它是什么东西,甚者这个工具的年龄比我们一些读者的年龄都大。但看到下方的图片一定能唤醒 “老网民” 的记忆。 以前的浏览器并没有像现在这样在网址输入栏中集成搜索引擎功能,以 IE 5 为例,它只能处理地址栏中的网址。而 Google 工具栏就是一个吸附在 IE 浏览器地址栏下方的搜索工具,毋庸置疑,这对需要经常搜索的用户来说是超级方便的工具。除了搜索,Google 工具栏还提供了翻译、保存书签和拼写检查等实用功能。 如今随着各大浏览器纷纷支持在地址栏直接搜索,以及 IE 浏览器也已被微软放弃,Google 近日也决定放弃这个工具栏。Google 官方的公告也十分简短,“用于 Internet Explorer 的 Google 工具栏已停止使用”,并给出了卸载方法。 除了 Google ...
- 下一篇
Log4j2 维护者吐槽没工资还要挨骂,GO 安全负责人建议开源作者向公司收费
基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞,攻击者可以利用其 JNDI 注入漏洞远程执行代码,此漏洞牵涉面非常广,以至于国内外的个人或公司用户都对此高度关注,而 Log4j2 开发组在漏洞曝光后及时发布了 Apache Log4j 2.16.0 维护版本,默认禁用 JNDI,使此漏洞得到控制。 但小编在学(mo)习(yu)的时候,发现 Log4j2 的维护者之一 @Volkan Yazıcı 在推特上吐槽:Log4j2 维护者只有几个人,他们无偿、自愿地工作,没有人发工资,也没人提交代码修复问题,出了问题还要被一堆人在仓库里留言痛骂。 Log4j 维护者一直在为缓解措施而失眠:修复、文档、CVE、对查询的回复等。然而,没有什么能阻止人们痛骂(bush)我们,因为这份没有报酬的工作。其实我们都不喜欢这个出于向后兼容性问题而需要保留的功能(指 JNDI )。 这是一个非常现实的问题,我们姑且将这个问题称之为“开源可持续性问题”。通常来说,一个开源项目,要不就是反响平平无法形成生态,导致开发者热情逐渐降低、慢慢停掉;或者项目是大热门,很多个人和公司都在...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果