【多方警告】知名日誌管理平台存漏洞 Apache Log4j隨時登上2021安全事件榜
美國、英國、新西蘭等多國政府的安全機構,相繼向當地公私營機構發出警告,因為 Apache 一個名為 Log4j 的 Java 日誌管理平台存在的零日安全漏洞,將有可能引發出如 SolarWinds、Kaseya 安全事故的影響。而從不同安全機構捕捉到的攻擊樣本可見,黑客集團正爭相利用漏洞散播挖礦軟件、木馬程式,再加上受影響企業數以萬計,難怪各國政府如此慌張!
Apache Log4j 本身是一個極受歡迎的開源 Java 日誌管理平台,它可以讓企業完整監察及記錄應用軟件的各種使用數據及錯誤數據,因此不少企業也有採用。而就在上星期五,有安全專家發現網上遊戲《Minecraft》所使用的 Apache Log4j 有漏洞,經調查後,專家指黑客可利用該漏洞引導用戶瀏覽一個藏有隱藏惡意代碼的伺服器,於伺服器的日誌中留下一句惡意編碼,其後當 Log4j 收集伺服器的日誌時,錯誤地執行將惡意編碼,被強制到訪黑客的控制中心,進一步下載一個以 Base64 制式加密的惡意指令。專家指相關漏洞存在於 Apache Log4j 2.0 至 2.14.1 版本中,而且不只《Minecraft》受影響,網上遊戲平台 Steam、Apple 雲端應用服務 iCloud 以及電商平台 Amazon 原來亦有使用 Apache Log4j,另外還有數以千計企業用家,因此牽連實在難以估計。
更糟的情況是,多個網絡安全研究員在消息推出後,在自家設立的蜜壼 (honeypot) 中已開始捕捉到相關攻擊,證明已有黑客積極利用漏洞進行入侵。專家解釋,由於利用漏洞的方法異常簡單,而且又有大量用家,因此黑客絕不會放過大好機會,趕在企業安裝 Apache 提供 Log4j 2.15.0 安全更新前發動攻擊。捕捉到的惡意軟件包括木馬軟件 Kinsing,它在入侵系統後便會引入挖礦程式,並為系統剷除其他惡意軟件,確保自己的控制權。
另外,又有黑客會利用漏洞在系統安裝 Mirai 木馬軟件,企圖將企業的電腦設備變成殭屍大軍的一員,於未來發動龐大的 DDoS 攻擊。Microsoft Threat Intelligence Center 亦有所發現,專家指有黑客利用漏洞來安裝滲透測試工具 Cobalt Strike 的 beacons (標記),以便繼續監察受感染電腦設備的數據傳輸,或直接安裝勒索軟件等惡意程式。由上述情況可見,黑客必然會利用各種方法如網絡裝置掃描工具,搜尋仍有漏洞的系統,企業管理者不想成為受害者,便應盡快指示 IT 團隊更新系統,或暫停使用相關第三方應用服務。