18+

影響恐遍及全網 Log4j資安漏洞重點一次看

被廣泛使用的軟體Log4j中的一個嚴重漏洞,讓資安專家發出警訊,各大企業也紛紛忙著要解決這個問題。

上週末通報的這項漏洞存在於以Java語言開發的日誌框架Log4j中,大型機構會使用該軟體來設定應用程式;這個漏洞對網路的絕大部分領域構成潛在風險。

根據資安研究人員說法,蘋果公司(Apple)的雲端運算服務、資安公司Cloudflare,以及全球最受歡迎的電玩遊戲Minecraft是使用Log4j的眾多服務之一。

美國國土安全部網路安全和基礎設施安全局(CISA)局長伊斯特利(Jen Easterly)表示,這是她職涯看過「最嚴重的漏洞之一」。伊斯特利11日發表聲明指出,有「愈來愈多」駭客正在積極嘗試利用這個漏洞。

根據資安公司Check Point本週的數據,截至14日為止,每分鐘就發生超過100次駭客嘗試攻擊。

資安公司TrustedSec執行長甘迺迪(David Kennedy)指出,這個問題需要幾年時間才能解決,然而駭客會每天持續尋求利用這個漏洞,對企業來說猶如定時炸彈。

● Log4j是什麼?為什麼重要?

根據資安專家說法,Log4j是最受歡迎的網路紀錄檔記錄工具之一。Log4j提供軟體開發者方法來建立活動紀錄,以用在各種目的上,諸如問題排除、審核和數據追蹤。由於它是免費開放資源,Log4j基本上觸及網路各個領域。

資安公司Veracode研究總監克里斯.伍(ChrisEng,音譯)向美國有線電視新聞網商業頻道(CNNBusiness)表示:「它無所不在。就算你是沒有直接使用Log4j的開發者,也有可能在操作這個脆弱的程式碼,因為你使用的其中一個開放原始碼程式庫仰賴Log4j。這就是軟體的性質,它會無限延續下去。」

● 駭客在利用這個漏洞嗎?

根據Cloudflare說法,早在此事曝光的一週前,駭客似乎已經開始利用這項軟體漏洞。如今隨著每天發生的駭客嘗試攻擊次數如此之高,有些人擔心最糟的情況還在後頭。

微軟公司(Microsoft)14日晚間在部落格更新文章中表示,來自中國、伊朗、北韓和土耳其獲國家撐腰的駭客嘗試利用Log4j漏洞。

● 為何這項資安漏洞如此嚴重?

專家特別擔心這項漏洞,因為駭客能輕易進入一間企業的電腦伺服器,讓他們得以進入網路其他領域;據甘迺迪說法,要找出漏洞或確認一個系統是否已經遭到損害也相當困難。

除此之外,14日晚間又發現Log4j系統的第2個漏洞。開發Log4j和其他開放原始碼軟體的非營利組織阿帕契軟體基金會(Apache Software Foundation)已經釋出安全補丁供各個機構使用。

● 企業行號如何試著解決問題?

Minecraft上週發表部落格貼文,宣布在其遊戲一個版本中發現漏洞,已迅速發出補丁。其他企業也採取類似做法。

國際商業機器公司(IBM)、甲骨文公司(Oracle)、亞馬遜網路服務(AWS)和Cloudflare都對客戶發出建議,部分推出安全更新,或概述他們可能推出補丁的計畫。

甘迺迪說:「這是如此嚴重的漏洞,但這不像傳統重大漏洞一樣點個按鈕就能修補,而是需要很多時間與功夫。」

為了提高透明度並減少不實訊息,CISA表示會設立一個公共網站,針對哪些軟體產品受到該漏洞影響,以及駭客如何利用這些漏洞,不時發表更新。

● 接下來呢?

美國政府已經對受到影響的企業發出警示,要求在假期期間對勒索軟體和網路攻擊提高警覺。

有人擔心會有愈來愈多的惡意行為人用新的方法來利用這項漏洞,雖然大型科技公司或許本有安全團隊來處理這些潛在威脅,但許多其他機構卻沒有。

資安公司Red Canary情報主任尼克爾斯(KatieNickels)表示:「我最擔心的是學區、醫院,以及只有一位資訊人員的地方,此人負責資安,沒有時間、安全預算或工具來處理。這些是我最擔心的組織,也就是只有小額安全預算的小型組織。」

本日熱門 本周最熱 本月最熱