廣泛受到企業、組織使用的日誌框架Log4j,被資安人員發現存在惡性重大的安全漏洞,可能導致全球上百萬應用程式面臨駭客攻擊風險,牽涉微軟、蘋果、特斯拉等諸多科技巨頭。
Log4j是Apache軟體基金會下的一個專案,基於Java開發而成,多被Java開發人員用於查找錯誤。由於使用範圍極為廣泛,從雲端服務到企業軟體中均有使用,這個被稱作Log4Shell的漏洞也被認為是有史以來最嚴重的資安漏洞。
一串指令就能入侵伺服器,Log4j爆出史上最嚴重漏洞
曾阻止綁架軟體WannaCry的資安研究人員馬庫斯.霍金斯(Marcus Hutchins)也在推特上評論,「Log4j的漏洞非常嚴重,上百萬個應用程式使用Log4j來紀錄,駭客只要一串指令就能發動攻擊。」
他在文中以Minecraft為例,駭客只要在對話框貼入一串訊息,就能遠端執行伺服器上的程式碼。
根據《衛報》報導,資安公司Tenable執行長阿米特.約蘭(Amit Yoran)表示,這不僅是過去10年來規模最大、最嚴重的漏洞,還可能是電腦史上最龐大的漏洞。
約蘭指出,Log4j漏洞影響的規模之大,導致在使用Tenable防護程式的用戶中,每秒就有至少3個系統回報受到該漏洞威脅。
Apache軟體基金會也將Log4j漏洞的嚴重程度,評為最高的10分,任何人都可以從存在該漏洞的服務獲得電腦的完整訪問權限。
資安公司Cloudflare技術長約翰.格拉漢.康寧(John Graham-Cumming)也指出,過去10年裡只有兩個漏洞的嚴重程度能夠與Log4Shell相提並論。
這個漏洞會如此危險,是因為它讓駭客不必透過密碼,就能入侵網路伺服器。駭客可以任意在伺服器端植入惡意軟體、竊取珍貴數據,或者竄改內部的內容等,且門檻極低。
漏洞牽涉範圍廣,外界擔憂駭客攻擊可能將增加
該漏洞最初由阿里巴巴旗下雲端資安團隊所發現,並在11月24日向Apache軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。
已有資安人員在GitHub上,列出經確認面臨Log4j漏洞威脅的大型企業,從蘋果、亞馬遜、特斯拉、Google到Steam、LinkedIn、Webex等,受害範圍非常廣泛。
目前微軟已經為Minecraft用戶發布更新,聲稱服務完成修復,思科也在官網發布相關文章,教導開發人員如何在系統中尋找該漏洞。Steam母公司Valve發言人道格.蘭巴爾迪(Doug Lombardi)則回應,工程師已立即檢查系統,最終認為Steam沒有被攻擊的風險。
雖然目前還沒有傳出利用Log4j漏洞發動攻擊的確切案例,但由於Log4j使用程度之廣,外界估計在爆出消息後的這幾天內,恐怕針對各個伺服器的攻擊就會大量增加。
Cloudflare聲稱,他們也積極為客戶提供保護措施,「但不管我們怎麼做,都沒辦法完全彌補Log4j的漏洞。」若要完全防範威脅,仍得依賴各服務所有者更新Log4j版本。
資料來源:The Verge、Guardian、LunaSec
責任編輯:侯品如