关于 log4j 中最新的网络安全漏洞你需要知道什么

周六，美国网络安全和基础设施安全局发布声明称，一个严重的新软件漏洞可能会影响苹果的 iCloud、微软的 Minecraft、百度、IBM、亚马逊网络服务等。黑客可能会利用此漏洞接管网站。

CISA 主任 Jen Easterly 在声明中写道：“我们已将此漏洞添加到已知被利用漏洞目录中，这将迫使联邦民事机构——并向非联邦合作伙伴发出信号——紧急修补或修复此漏洞。”该漏洞与一种名为 log4j 的东西有关，软件工程师保护网站免受其攻击的一种方法是升级到最新版本的 log4j (2.15.0)。“我们正在主动联系网络可能存在漏洞的实体，并利用我们的扫描和入侵检测工具帮助政府和行业合作伙伴识别漏洞的暴露或利用情况。”

该漏洞最早是由阿里巴巴安全团队发现的。以下是有关该漏洞和 log4j 的知识。

Log4j 是 Java 程序用来记录日志或记录应用程序执行的所有操作的开源工具。（开源工具是免费的，任何人都可以查看以突出显示错误或漏洞。）

互联网基础设施和安全公司 F5 的全球人工智能主管 Shuman Ghosemajumder 解释说：“创建该记录有多种不同的目的，比如能够在出现问题时调试应用程序，或者能够了解应用程序使用情况的任何有趣信息。你可以在自己的网站或移动应用中创建自己的机制来记录这些信息，或者，你可以使用其他人创建的日志记录程序，例如 log4j。”

[相关：你需要保护自己免受零点击攻击]

当信息传递给 log4j 时，它通常必须通过 log4j 执行这些日志记录操作的网站。

然而——这就是这个严重的错误发挥作用的地方——如果有人以隐藏在数据中的特殊字符串的形式向库发送命令，那么 log4j 不会仅仅记录该信息，而是会像程序中的代码一样执行它。

可以将该字符串视为打开程序的万能钥匙，让任何攻击者都可以在该网站的服务器上插入他们自己控制的程序。理论上，他们可以运行允许他们完全接管该网站或应用程序的软件。

此外，攻击者可以扫描互联网上的所有网站，试图找到响应此特殊字符串的网站。

“这就是所谓的远程代码执行攻击，”Ghosemajumder 说。“这种攻击特别危险的一点是，它可以为网络攻击者提供对网站和您的账户的极高访问权限。”

例如，黑客可以绕过在您的帐户上执行操作所需的正常机制，例如登录银行网站或使用 log4j 的电子邮件帐户。由于攻击者有可能在未登录的情况下访问私人帐户，Ghosemajumder 表示消费者应该监视重要帐户上的异常活动。

对于公司和组织来说，除了更新软件之外，他们还可以使用网络安全工具来过滤访问其网站的流量，以查找该字符串并阻止其到达 log4j。“这就是各地网络安全团队现在正在做的事情，”Ghosemajumder 说。“希望他们做得足够快，以便大多数人都能受到保护。”