close

Log4j Java 程式庫的嚴重 0-day 漏洞,恐將造成極大資安危機

資安專家發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞,可導致遠端執行任意程式碼;由於此程式庫的使用率高,專家指出恐將造成嚴重的資安危機。

資安專家近日發現廣為使用的 Log4j Java 程式庫,內含嚴重的 -0-day 資安漏洞 ,可能導致駭侵者用於發動攻擊,遠端執行任意程式碼;由於此程式庫的使用率極高,專家指出恐將造成嚴重的資安危機。

這個 0-day 漏洞的 CVE 編號為 CVE-2021-44228,命名為「Log4Shell」或是「LogJam」;任何系統若執行 Log4j 2.0-beta9 到 2.14.1 之間的版本,都有可能遭到駭侵者遠端執行任意程式碼,而且無須通過任何登入驗證程序。

這個 Log4j 0-day 漏洞的 CVSS 危險程度評分高達滿分 10 分。

該漏洞是由阿里雲的資安研究團隊發現,並在第一時間通報開發出 Log4j Java 程式庫的 Apache 基金會;但在資安研究專家於 Github 上公布針對此一漏洞開發出的駭侵概念證實(Proof of Concept)程式碼後,資安廠商馬上就觀測到有駭侵者開始掃瞄 Internet 上可能存有此漏洞的主機;現在更有駭侵者開始利用此一漏洞,發動大規模的惡意軟體植入攻擊。

由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,被點名的業者包括 Apple、Amazon、Cloudflare、Twitter、Steam、Minecraft、百度、騰訊、滴滴、京東、網易、Tesla、Google、VMware、UniFi、Webex、LinkedIn 等大型網路服務業者。

Log4j 的開發者 Apache Foundation 已經緊急推出 Log4j 2.15.0 版本,解決了 CVE-2021-44228 的漏洞;任何使用本程式庫的單位,均應立即更新到最新版本,以對應已有駭侵團體大規模利用此漏洞發動攻擊的資安風險。

  • CVE編號:CVE-2021-44228
  • 影響產品(版本):Log4j 2.0-beta9 到 2.14.1 之間的版本
  • 解決方案:更新 Log4j 2.15.0 版本
  • 參考連結

CVE-2021-44228 Detail

https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Apache Log4j 2 CVE-2021-44228

https://www.docker.com/blog/apache-log4j-2-cve-2021-44228/

Hackers start pushing malware in worldwide Log4Shell attacks

https://www.bleepingcomputer.com/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

New zero-day exploit for Log4j Java library is an enterprise nightmare

https://www.bleepingcomputer.com/news/security/new-zero-day-exploit-for-log4j-java-library-is-an-enterprise-nightmare/

Apache Log4j 2

https://logging.apache.org/log4j/2.x/index.html

arrow
arrow
    文章標籤
    TWCERTCC TWCERT 台灣電腦網路危機處理暨協調中心 Log4j Java 程式庫 資安漏洞
    全站熱搜

    twcert 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄