Apache Log4j漏洞披露一个月后,微软本周警告,开采漏洞的行动仍然活跃,呼吁用户应立即更新版本并提高警觉。
去年12月初公布的Log4j组件(CVE-2021-44228)远程程序代码漏洞,影响数以百万计消费及企业软件及Web程序,之后Log4j还陆续有其他中高风险漏洞相继被披露。微软12月中已经观察到网络上有各种开采意图,试图寻找未修补的设备以植入勒索软件、挖矿程序、木马程序,这些攻击活动背后包括国家黑客以及以获利为目的犯罪组织。
微软本周指出,12月几个星期间试图开采漏洞的活动仍然频繁,他们观察到攻击者已在现有恶意程序组件和策略,从采矿软件到人为操作攻击,加入针对Log4j众多漏洞的开采模块,然而用户可能无法察知是否已被黑入。微软建议针对曾跑过漏洞软件(Log4j)的设备加强检查,此时企业管理员应假定其网络环境已经成为开采程序和扫描活动的目标。
微软并指出,由于受影响软件和服务数量之多,以及更新速度之慢,可以预期整个业界需要花很长时间才能补完漏洞,需要保持警戒。
安全厂商观测到某些国家支持的黑客组织,已涉及Log4j漏洞的攻击。
另一方面,美国联邦交易委员会(Federal Trade Commission, FTC)本周呼吁企业应尽快修补Apache Log4j漏洞,企业及其合作厂商务必立即采取行动,以降低消费者受害的可能性,未修补者可能被FTC控告。
FTC以2017年中发生资料外泄事件的信用报告企业Equifax为例说明。Equifax在2017年的5月至7月间,因漏洞未补遭黑客入侵,外泄1.47亿名消费者的个人资料,包括姓名、生日、住家地址以及20.1万张银行卡资料。事后调查显示,美国国土安全部曾在当年3月向Equifax警告漏洞的存在,后者却没有效修补。Equifax遭FTC控告,双方并于2019年以7亿美元完成和解。
现在已知Log4j漏洞包括最严重的CVE-2021-44228和CVE-2021-45046、以及上周才公布的CVE-2021-44832(3个RCE漏洞已以Log4Shell统称)。此外还有DoS漏洞CVE-2021-45105。安装Log4j最新版2.17.1可以修补目前已知所有漏洞。