先來了解Apache Log4j是什麼?
根據維基百科的說明:
Apache Log4j是一個基於Java的紀錄檔記錄工具。它是由瑞士程式設計師Ceki Gülcü於2001年首創的,現在則是Apache軟體基金會的一個專案。 log4j是幾種Java紀錄檔框架之一。
2021年12月9日,Log4j 2.0的一個零日遠端代碼執行漏洞被報告,其被命名為「Log4Shell」或是「LogJam」,公共漏洞和暴露編號為CVE-2021-44228。它被定性為「過去十年來最大、最關鍵的漏洞」。
「Log4Shell」最早出現在微軟旗下《Minecraft》的伺服器,應用程式安全公司LunaSec其後表示,Steam遊戲平台和蘋果iCloud也出現同樣漏洞。
受此漏洞影響的軟體包括:Apache Struts、Apache Solr、Apache Druid、Elasticsearch、Apache Dubbo 及 VMware vCenter。
根據趨勢科技分享的資料,有些使用了 Log4j 的程式套件也受到這個漏洞影響:
- RedHat Openshift、JBoss某些套件
- Jenkins的擴充功能可能會使用到
- Apache Solr 7.4之前的版本
- VMWare的多項產品(包括vCenter等)
- Citrix XenMobile Server和XenApp等
- NetApp的Active IQ、ONTAP和SnapCenter等
Elasticsearch應該是比較多企業會使用到的開源軟體(Open Source),尤其是和大數據、分散式資料運算有關的網站,因為ES就是很強大、支援分散式架構的搜尋引擎,所以若是企業有使用ES的開源軟體也要注意此次的漏洞,ES官方也有針對此次漏洞進行相關說明:
Analysis of Log4Shell vulnerability & CVE-2021-45046
而VMWare應該是此次受影響最大的軟體,旗下將近五十種的軟體可能都有受到影響,包括企業最常用的vCenter等等,可以詳閱VMWare官方的列表:
VMWare Impacted Products (Under Evaluation)
有使用VMWare和ES軟體的企業請務必要注意關注此次的漏洞哦!
目前已經傳出的攻擊事件和可能的威脅~
從網路上查到的消息,因為Log4j漏洞而被攻擊並造成影響的最大事件是比利時的國防部,有部份系統因為受到攻擊影響而暫停服務!
根據TWCERT機構的公告新聞,由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,有可能受到影響的廠商包括:
- Apple
- Amazon
- Cloudflare
- Steam
- Minecraft
- 百度
- 騰訊
- 滴滴
- 京東
- 網易
- Tesla
- UniFi
- Webex
- LinkedIn等大型網路服務業者
註:TWCERT機構就是「台灣電腦網路危機處理暨協調中心」。
面對資安漏洞和駭客攻擊,不必害怕、但要慎重處理!
資安漏洞會隨著時間消逝和科技進步而不斷出現,而駭客攻擊更是隨時都在發生,只是這些攻擊都是無聲無息,往往都要等到被駭客攻破或勒索時才會被人發現!
就像人類生病一樣,有些病痛是慢性累積、長期發生的,例如癌症,剛開始時都很難被查覺,等到病情爆發時往往已經變成重症而無可挽回。所以現在很多人都會定期做健康檢查,希望能早日發現有何病症、才能提早治療!
我覺得企業在面對資安問題、駭客攻擊時也應該要有同樣的心態,早點規劃因應之道,並做好妥善的規劃和措施,以避免企業的重要數位資料遭到駭客竊取或是營運受到嚴重影響。
★美國網路安全暨基礎架構管理署(CISA)已釋出Log4j漏洞的掃描工具,可方便企業自行檢查伺服器是否有該漏洞,掃描工具網址如下:
https://github.com/cisagov/log4j-scanner
唯有勇於面對、提早佈署,才能有機會避免資安風險的發生!