据外电安全媒体报道,黑客正在利用Java日志库Log4J的严重安全漏洞,抓住每分钟的的时间攻击某些有价值的服务器。
Log4j 缺陷(现在也被称为“Log4Shell”)是一个严重的零日漏洞 ( CVE-2021-44228 ), 于 12 月 9日首次被曝光,它可以允许未经身份验证的远程代码执行和访问远端服务器。
几乎所有行业都受到该漏洞影响,漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。
据openEuler消息,欧拉开源社区已经修复Log4j高危安全漏洞(CVE-2021-44228)并发布安全公告,用户可通过更新openEuler 20.03 LTS SP1/SP2 Log4j的安全补丁修复该漏洞。
Log4j 用于多种形式的企业和开源软件,包括云平台、Web 应用和电子邮件服务,这意味着大量运营的软件都可能因该漏洞而面临严重风险。
攻击者开始在整体扫描互联网,寻找Log4J的“肉机”实例,有安全平台指出,有的站点每分钟超过1000次以上的递归扫描。有数十万次使用Log4J漏洞进行代码执行尝试,包括搜索漏洞扫描。
已经有攻击者试图利用 Log4j 漏洞安装加密货币挖掘的恶意软件。也有报道称,包括 Mirai、Tsunami 和 Kinsing 在内的几个僵尸网络也正在尝试利用它。
微软的研究员警告说,利用 Log4j 漏洞包括一系列加密货币相关和恶意软件,它们在易受攻击的系统上安装 Cobalt Strike ,用来窃取用户名和密码。
虽然网络犯罪分子试图利用 Log4j 漏洞安装挖币软件,看起来是一个相对低级别的威胁,但更高级别、更危险的网络攻击者很可能会尝试跟进。
高级别的攻击者会试图利用这些噪音来攻击各种高价值的单位,比如银行、国家安全相关关键基础设施等目标。
虽然 Log4j 安全问题最近才被曝光,但有证据表明,在公开披露之前,攻击者已经利用该漏洞一段时间了——这一个流行多年,被广泛使用但几乎没人维护的开源项目这次彻底暴露在人们的面前。
Log4j 维护者称他自己有全职的软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但目前为止只有三个人赞助了 Log4j。
目前使用 Log4j 项目的知名企业包括苹果和微软等大公司。有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。
编辑:场长 说明:综合自 ZDNet /Slashdot
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/258535.html