11月下旬,中国科技巨头阿里巴巴的云安全研究人员在一个流行的开源编码框架中发现了一个缺陷,称为log4j。员工很快通知了Log4J的父型Apache Software Foundation,这是一组维护框架的志愿者程序员。消息,那是获得彭博新闻,很明显:黑客可以利用这种脆弱性来通过控制目标计算机以遥控性执行来控制全球的破坏性网络攻击。员工写道,这种威胁“具有重大影响”。
由于灾难看似迫在眉睫,网络安全专家突然在黑客进入之前,突然进行了钟表的努力。但是,整个操作仍然是安静的,直到上周出现了第一个公开案例:有史以来最畅销的视频游戏Minecraft发表了一篇博客文章,揭示了该游戏的版本有一个缺陷,可以让黑客服用。over players’ computers, and urged users to download a rushed security update. The Log4j vulnerability was now disclosed, putting the entire cybercommunity on high alert.
这是要知道的:
Log4J漏洞到底是什么?
log4j是一个记录框架,这意味着它使开发人员可以在服务器上监视或“日志”数字事件,然后团队对典型操作或异常行为进行审查。
称为log4shell的漏洞是由编码器所谓的不正确输入验证的结果。通常,软件应保护来自在线不受信任的用户的数据,但是缺陷允许他们解决,然后可以让不受信任的局外人提供的数据操纵服务器的操作。根据英国安全开发商Sophos的说法,这可能意味着从在线泄漏信息到自动安装恶意软件。
危机水平是多少?
高的。Java库Log4J在Cyberuniverse中无所不在,包括来自亚马逊,微软,IBM,Google,Cisco,Cisco,Twitter,Steam的应用程序,甚至是美国的网络安全和基础设施安全局。因此,缺点是黑客让自己进入全球数百万计算机系统的机会,造成无数破坏。
它似乎已经开始在Workforce Management Platform Kronos上的勒索软件(可能会延迟工资单上),并且分析师可疑与Log4Shell相关。其他有关漏洞利用的报告包括劫持计算能力以开采加密货币,以及僵尸僵尸网络的军队招募更多机器纳入其等级。还有进一步的报道说,黑客已经成为质量扫描服务器,以便拇指纹理脆弱的系统。
怎么了?
由公司来设计该错误的公司,理想情况下前黑客可以在野外利用它。包括亚马逊,微软,IBM和Google在内的许多公司都表示,他们已经在调查或努力部署修复程序。但是,主要的头痛 - 以及网络安全专家如此疯狂的是,许多公司甚至都不知道它们是使用log4j构建的,因为程序通常是从各种来源中提取的多个组件开发的。这是一个问题,即最近建立所谓的软件材料清单的白宫订单希望通过要求将软件出售给政府的公司列出所有零件和零件来解决。
但是专家预测,清理log4j漏洞造成的混乱将需要数月甚至数年的时间。这将涉及使用修补版本的所有受影响的系统更新。即使到那时,一些侵入系统的黑客也可能已经安装了后门来访问服务器,即使它们被修补了。
有人要怪吗?
并不真地。有些人在阿帕奇(Apache)开枪射击,声称应该在2016年最早确定和修复缺陷,当时黑帽网络安全会议上的研究人员提出了一种利用包括log4j在内的软件的方法。
但是,这种情况还引起了一个事实,即现代软件的大量大量是由未支付的志愿者维护的开源程序(可能正在兼顾许多其他职责)的开源计划,并提出了有关减少缺点的问题的问题。这种做法。