Log4j漏洞可能需要数月甚至数年时间才能妥善解决

Log4j一直存在一些漏洞，但没有这次这么严重，波及的面这么广。

据Cyber Kendra称， Log4Shell（代号称为CVE-2021-44228） 漏洞于 11 月 24 日由中国的阿里云安全团队首次报告给 Apache 。

安全公司 Randori 的专家表示，该漏洞可能会影响“数千个组织”，并“对受影响的系统构成重大的现实世界风险”，包括网络犯罪分子和民族国家行为者的关注。

专家们认为的普遍性以及容易被利用，这个 Log4j （Apache Log4j）中的远程代码执行漏洞是十年来最严重的一个，可能需要数月甚至数年时间才能得到妥善解决。

美国前白宫国土安全顾问、现任国家安全局网络安全主管 Rob Joyce就 Log4j在 Twitter 上表示：“这个漏洞是一个重大的漏洞利用威胁，因为它广泛包含在软件框架中，甚至NSA 的 GHIDRA [开源逆向工程工具]。这是一个案例研究，说明为什么软件物料清单 (SBOM) 概念对于理解与暴露如此重要。”

McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示称，Log4Shell 的破坏力完全和 Shellshock、Heartbleed 和 EternalBlue 同一个级别。

Povolny 表示：“攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益…… 进一步的利用似乎已经转向盗窃私人信息。可以预见，这种攻击即将会发生演变”。

Povolny 补充说，该漏洞的影响可能是巨大的，因为它是“可蠕虫式的，可以建立自己的传播”。即使有了补丁，也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大，Povolny 说“可以假定许多组织已经被攻破”，并需要采取事件响应措施。

Povolny 说：“我们相信 log4shell 漏洞将持续数月甚至数年，随着补丁越来越多地推出，在未来几天和几周内将会大幅减少”。

自12月9日以来，Sophos 高级威胁研究员 Sean Gallagher 说，使用该漏洞的攻击从试图安装硬币矿工–包括Kinsing矿工僵尸网络正演变为更复杂的努力。

Gallagher 表示：“最近的情报显示，攻击者正试图利用该漏洞暴露亚马逊网络服务账户使用的密钥。还有迹象表明，攻击者试图利用该漏洞在受害者网络中安装远程访问工具，可能是Cobalt Strike，这是许多勒索软件攻击中的一个关键工具”。

“这个漏洞的可怕之处在于：

首先，它真的很容易被利用；攻击者所要做的就是把一些特殊的文本粘贴到应用程序的各个部分，然后等待结果。

其次，很难知道什么是受影响的，什么是不受影响的；该漏洞位于与许多其他软件包捆绑在一起的核心库中，这也使修复变得更加复杂。

第三，你的许多第三方供应商很可能受到影响。”

Log4j的发展将会不断演变和持续，我们也会根据情况解释更多技术细节。