包括蘋(píng)果iCloud、推特�����、Cloudflare��、《我的世界》���、以及Steam等在內(nèi)的諸多熱門(mén)服務(wù)���,均易受到一個(gè)零日漏洞的影響。
近日有報(bào)道稱���,包括蘋(píng)果iCloud�、推特���、Cloudflare��、《我的世界》���、以及Steam等在內(nèi)的諸多熱門(mén)服務(wù),均易受到一個(gè)零日漏洞的影響���。Luna Sec安全研究人員將這個(gè)存在于流行的Java日志庫(kù)中的零日漏洞利用稱作“Log4Shell”��,且已在Apache Log4j中發(fā)現(xiàn)�。后者是一款開(kāi)源的日志實(shí)用程序�����,且被大量應(yīng)用程序、網(wǎng)站和相關(guān)服務(wù)所采用�����。
(來(lái)自:Luna Sec)
起初�����,研究人員僅在微軟旗下的《我的世界》中發(fā)現(xiàn)了“Log4Shell”��。但由于Log4j在幾乎所有基于Java的企業(yè)應(yīng)用程序/服務(wù)器中“無(wú)處不在”��,這一零日漏洞的影響范圍還是難以估量的����。
Luna Sec安全研究人員在一篇博客文章中警告稱:任何使用Apache Struts的地方,都可能易受此類攻擊��。
目前已被證實(shí)易受影響的服務(wù)器���,已波及蘋(píng)果�、亞馬遜��、Cloudflare����、推特、Steam��、百度�����、網(wǎng)易����、騰訊、Elastic等科技巨頭�����。
慶幸的是�����,盡管另有成千上萬(wàn)的其它組織尚未列出���,但在致外媒的一份聲明中�����,Cloudflare表示其已給系統(tǒng)打上了更新補(bǔ)丁����,且尚未發(fā)現(xiàn)任何有被利用的證據(jù)。
此外《我的世界》游戲開(kāi)發(fā)商Mojang工作室已通過(guò)緊急發(fā)布的安全更新而修復(fù)了該錯(cuò)誤���。
Apache軟件基金會(huì)也于今日發(fā)布了緊急安全更新����,并為無(wú)法立即啟用更新的客戶提供了緩解方案��。
美國(guó)國(guó)家安全局網(wǎng)絡(luò)安全主管Robert Joyce證實(shí)�����,該機(jī)構(gòu)開(kāi)發(fā)的免費(fèi)開(kāi)源逆向工程工具GHIDRA也受到了影響:“由于廣泛包含在軟件框架中���,Log4j是一個(gè)相當(dāng)重大的漏洞利用威脅”�����。
新西蘭計(jì)算機(jī)緊急響應(yīng)小組(CERT)���、德國(guó)電信CERT和Greynoise網(wǎng)絡(luò)監(jiān)控服務(wù)均發(fā)出警告——攻擊者正在積極尋找易受Log4Shell攻擊的服務(wù)器���,約有100臺(tái)不同的主機(jī)正在對(duì)互聯(lián)網(wǎng)展開(kāi)掃描。
最后�����,HackerOne高級(jí)安全技術(shù)專家Kayla Underkoffler指出——隨著開(kāi)源軟件在全球關(guān)鍵供應(yīng)鏈中所占的比例越來(lái)越大��,其遭遇此類攻擊威脅的位面也在與日俱增�����。
閩公網(wǎng)安備 35010202001226號(hào)
