专家称 log4shell 漏洞将持续数百年,直到你入土


Log4j 中近日被曝出了一个远程代码执行漏洞 CVE-2021-44228,对众多组织都造成了影响。对此,网络安全专家认为,鉴于该漏洞的普遍性和易于利用性,将需要花费数百年的时间才能完全解决这一隐患。而这数百年将会有多少程序员入土?

McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 称,Log4Shell 的危害性堪比 Shellshock、Heartbleed 和 EternalBlue。“攻击者几乎立即开始利用该漏洞进行非法加密货币挖掘,或使用互联网上的合法计算资源生成加密货币以获取经济利益......进一步的利用似乎已转向窃取私人信息......我们完全期待看到攻击的演变。”

并表示,该漏洞的影响可能是巨大的;因为它是可蠕虫的,并且可以自行传播。即使有了补丁,易受攻击的组件也有几十个版本。鉴于目前已经观察到的攻击数量庞大,Povolny 认为可以假定许多组织已经遭到破坏,并且需要采取事件响应措施;“我们相信 log4shell 攻击将持续数月甚至数年”。

Sophos 高级威胁研究员 Sean Gallagher 指出,自 12 月 9 日以来,利用该漏洞的攻击已从尝试安装 coin miners(包括 Kinsing 矿工僵尸网络)演变为更复杂的手段。“最近的情报表明,攻击者正试图利用该漏洞来暴露 Amazon Web Service 帐户使用的密钥。还有迹象表明,攻击者试图利用该漏洞在受害网络中安装远程访问工具,可能是 Cobalt Strike —— 许多勒索软件攻击的一个关键工具。”

Sophos 首席研究科学家 Paul Ducklin 则补充道,包括 IPS、WAF 和智能网络过滤在内的技术都“有助于控制这一全球漏洞”。 

HackerOne 的 CISO Chris Evans 表示,他们已收到 692 份关于 Log4j 的报告,涉及 249 个客户程序;并指出苹果、亚马逊、Twitter 和 Cloudflare 等大公司也都已确认他们存在有漏洞。

"这个漏洞的可怕之处在于:首先,它真的很容易被利用;攻击者所要做的就是把一些特殊的文本粘贴到应用程序的各个部分,然后等待结果。其次,很难知道什么是受影响的,什么是不受影响的;该漏洞位于与许多其他软件包捆绑在一起的核心库中,这也使修复变得更加复杂。第三,你的许多第三方供应商很可能受到影响。"

Imperva 首席技术官 Kunal Anand 也透露,在推出了更新的安全规则之后的 13 个多小时内,该公司就已经观察到超过 140 万次针对 CVE-2021-44228 的攻击。 

“我们观察到峰值达到每小时大约 28 万次攻击。与同类其他 CVE 一样,我们预计这个数字会增长,尤其是在未来几天和几周内随着新变种的出现。”


相關推薦

2021-12-23

洞的网络安全风险提示》通告 —— 如此种种都意味着,Log4shell 漏洞已是一个全球性的网络安全问题。

2021-12-20

mfony 公司。PHP 基金会的主要目标之一是为 PHP 编程语言的持续开发提供资金和支持。  “我们预计 PHP 的开发方式不会立即发生变化,”Benmoshe 说。“随着时间的推移,基金会管理部门将在 PHP 社区的帮助下正式确定未来的

2023-08-29

名开源博客框架开发商、托管商 WordPress 宣布推出「百年计划」(100-Year Plan)。该服务费用为 3.8 万美元,可提供长达 100 年的域名注册保证,并提供网站托管、无限流量、全球备份和 24/7 全天候客服等增值服务。 WordPress 称

2022-11-03

1 日至 2022 年 6 月 30 日期间,SonicWall 共记录了 5.575 亿次 Log4Shell 攻击尝试,平均每天 280 万次。 从 2022 年 1 月到 2022 年 7 月,加密攻击(使用加密通信驱动的攻击)增加了 132%,主要针对政府、金融和教育。 更多内容可查看

2022-09-27

手的网络安全防御。” Rob Portman 也说道:“正如我们在 Log4shell 漏洞中看到的那样,我们每天使用的计算机、手机和网站都包含容易受到网络攻击的开源软件,两党合作的《保护开源软件法案》将确保美国政府预测并减轻开源

2023-09-14

。首先是广泛使用的开源软件的漏洞的连锁效应,它以 Log4Shell 为例,说明开源软件遭到破坏可能造成的广泛后果。其次是针对开源存储库的供应链攻击,可能会导致下游负面影响,例如开发人员的帐户被盗用以及攻击者利用它

2023-03-22

dor Labs Station 9 的首席安全研究员 Henrik Plate 称,包括 Log4Shell、Heartbleed、Shellshock 在内一些高影响漏洞以及恶意软件组件的扩散正在显着改变组织对开源的看法。“众所周知,开源软件通常比专有软件性能更高、更安全。但也

2024-10-17

一些在开源软件社区拥有丰富经验的专家分享了关于如何维持这一关键生态系统的看法。 世界已经开始依赖数百万熟练的软件开发人员-- FOSS 项目的维护者--的免费工作。但是,世界却没有给他们一点小费。诚然,许多开源

2023-12-01

好,Blender 是一个理想的目标——知名度高,团队有技术专家,而且拥有足够的技术专业知识来发布和复盘 DDoS 的详细信息。 所以,并不是有人想要伤害 Blender 本身,只是 DDoS 服务供应商/骇客组织想要公开展示自己并宣传他

2021-12-17

继 CVE-2021-44228 和 CVE-2021-45046 之后发现的第五个 Log4Shell 漏洞。 距离 Apache Log4j “核弹级”漏洞的公开已过去将近一周,在此期间被记录的漏洞总共有两个,分别是 CVE-2021-44228 和 CVE-2021-45046。针对漏洞的补丁版本也早已发布

2022-09-10

的作者 Danie 在博客中分享了 curl 持续了 23.9 年的 DOS 漏洞。 1998 年 10 月, curl 4.9 发布了,curl 4.9 是第一个带有“cookie 引擎”的版本,可以接收 HTTP cookie、解析、理解并在后续请求中正确返回 cookie。 当然,当时 curl 的受

2023-06-29

遍认可的观点是,这些免费的重建版本只是为了培养RHEL专家,而并非是为了销售。我希望我们能够生活在那个世界,但现实并非如此。相反地,我们发现了一批用户,其中许多来自大型或超大型的IT组织,他们希望获得RHEL的稳

2023-06-18

有助于提供更高效和高性能的 I/O,但它也存在各种安全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出,Google 漏洞奖励计划中 60% 的提交都与 IO_uring 有关。而且 Go

2023-08-17

小时内完成该任务。  一旦制定了政策指南,政策专家就可以通过识别少量示例并根据政策为其分配标签来创建一组黄金数据。   然后,GPT-4 读取策略并将标签分配给同一数据集,而不会看到答案。  通过检