根據(jù)安全研究人員的說(shuō)法，在Java日志記錄庫(kù)Apache Log4j中檢測(cè)到的0day漏洞可能導(dǎo)致服務(wù)器完全被接管，并使無(wú)數(shù)應(yīng)用程序容易受到攻擊，該漏洞首先在游戲Minecraft中被檢測(cè)到。

根據(jù)CERT New Zealand的一份公告，未經(jīng)身份驗(yàn)證的遠(yuǎn)程執(zhí)行代碼漏洞 （ 歸類(lèi)為嚴(yán)重漏洞并跟蹤為CVE-2021-44228）正在被積極利用，并且已發(fā)布概念驗(yàn)證代碼。

CERT NZ表示，在2.0和2.14.1版本之間使用Java日志記錄庫(kù)Apache Log4j的系統(tǒng)和服務(wù)（包括許多用Java編寫(xiě)的應(yīng)用程序和服務(wù)"）容易受到攻擊。

為了防止被攻擊，他們緊急建議用戶(hù)將Log4j版本升級(jí)到Log4j-2.15.0-rc2。

在周五發(fā)布的警報(bào)中，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局表示，鼓勵(lì)用戶(hù)和管理員查看Apache Log4j 2.15.0公告并升級(jí)到Log4j 2.15.0或立即應(yīng)用建議的緩解措施。

該漏洞最初是在游戲Minecraft中發(fā)現(xiàn)的，但云應(yīng)用程序（包括在整個(gè)企業(yè)中廣泛使用的應(yīng)用程序）也仍然容易受到攻擊。這包括來(lái)自Apple，Amazon，Cloudflare，Twitter和Steam的軟件，網(wǎng)絡(luò)應(yīng)用程序和產(chǎn)品。

"這是一個(gè)最糟糕的情況，"安全公司Bugcrowd的首席技術(shù)官創(chuàng)始人Casey Ellis說(shuō)，"對(duì)很多人來(lái)說(shuō)，這將是一個(gè)漫長(zhǎng)的周末?！?/p>

據(jù)Cyber Kendra稱(chēng)，阿里云的安全團(tuán)隊(duì)于11月24日首次向Apache報(bào)告了該漏洞。

安全公司Randori的專(zhuān)家表示，該漏洞可能會(huì)影響"數(shù)千個(gè)組織"，并對(duì)受影響的系統(tǒng)構(gòu)成重大的現(xiàn)實(shí)風(fēng)險(xiǎn)。

前白宮國(guó)土安全顧問(wèn)、現(xiàn)任國(guó)家安全局網(wǎng)絡(luò)安全局局長(zhǎng)羅布·喬伊斯（Rob Joyce）在Twitter上談到了Log4j，他說(shuō)："由于軟件框架被廣泛使用，甚至國(guó)家安全局的GHIDRA（一種開(kāi)源逆向工程工具），也是一個(gè)重大的威脅?！?/p>

LunaSec首席執(zhí)行官Free Wortley和開(kāi)發(fā)人員Chris Thompson在一篇博客文章中表示，類(lèi)似的漏洞以前曾被利用過(guò)，例如2017年Equifax數(shù)據(jù)泄露事件，該事件暴露了大約1.43億美國(guó)消費(fèi)者的敏感信息。

"實(shí)際上，任何允許遠(yuǎn)程連接使用Log4j庫(kù)的應(yīng)用程序，用到寫(xiě)入日志文件的任意數(shù)據(jù)的場(chǎng)景都容易受到利用，"Randori攻擊團(tuán)隊(duì)說(shuō)。

Huntress公司的高級(jí)安全研究員John Hammond在博客中說(shuō)："log4j軟件包可能與任何給定供應(yīng)商提供的您使用的軟件捆綁在一起。不幸的是，在這種情況下，供應(yīng)商本身需要將安全更新推向下游。

這個(gè)漏洞沒(méi)有明顯的目標(biāo)，根據(jù)訪問(wèn)控制和安全態(tài)勢(shì)的其他因素，這可能會(huì)導(dǎo)致企業(yè)未來(lái)的妥協(xié)?- 無(wú)論是加密貨幣礦工，還是勒索軟件受害者。

這個(gè)可怕的警告也作為一個(gè)例子，說(shuō)明檢測(cè)和響應(yīng)能力的重要性，并暴露了嵌入在傳統(tǒng)安全計(jì)劃策略的風(fēng)險(xiǎn)，美國(guó)空軍前網(wǎng)絡(luò)和安全技術(shù)經(jīng)理Tim Wade說(shuō)，他目前是Vectra AI公司的技術(shù)總監(jiān)。

Hammond 說(shuō)："在評(píng)估自己的風(fēng)險(xiǎn)和威脅模型時(shí)，請(qǐng)考慮你使用的軟件的組件，尤其是可以公開(kāi)訪問(wèn)的組件。

原文轉(zhuǎn)自databreachtoday，作者Dan Gunderman，超級(jí)科技譯，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明出處和原文譯者為超級(jí)科技！

Hi，我是超級(jí)科技

超級(jí)科技是信息安全專(zhuān)家，能無(wú)上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！