最近資安界很重視的一個重大漏洞:Apache Log4j

先來了解Apache Log4j是什麼?

根據維基百科的說明
Apache Log4j是一個基於Java的紀錄檔記錄工具。它是由瑞士程式設計師Ceki Gülcü於2001年首創的,現在則是Apache軟體基金會的一個專案。 log4j是幾種Java紀錄檔框架之一。

2021年12月9日,Log4j 2.0的一個零日遠端代碼執行漏洞被報告,其被命名為「Log4Shell」或是「LogJam」,公共漏洞和暴露編號為CVE-2021-44228。它被定性為「過去十年來最大、最關鍵的漏洞」。

「Log4Shell」最早出現在微軟旗下《Minecraft》的伺服器,應用程式安全公司LunaSec其後表示,Steam遊戲平台和蘋果iCloud也出現同樣漏洞。

受此漏洞影響的軟體包括:Apache Struts、Apache Solr、Apache Druid、Elasticsearch、Apache Dubbo 及 VMware vCenter。

根據趨勢科技分享的資料,有些使用了 Log4j 的程式套件也受到這個漏洞影響:

  • RedHat Openshift、JBoss某些套件
  • Jenkins的擴充功能可能會使用到
  • Apache Solr 7.4之前的版本
  • VMWare的多項產品(包括vCenter等)
  • Citrix XenMobile Server和XenApp等
  • NetApp的Active IQ、ONTAP和SnapCenter等

Elasticsearch應該是比較多企業會使用到的開源軟體(Open Source),尤其是和大數據、分散式資料運算有關的網站,因為ES就是很強大、支援分散式架構的搜尋引擎,所以若是企業有使用ES的開源軟體也要注意此次的漏洞,ES官方也有針對此次漏洞進行相關說明:
Analysis of Log4Shell vulnerability & CVE-2021-45046

而VMWare應該是此次受影響最大的軟體,旗下將近五十種的軟體可能都有受到影響,包括企業最常用的vCenter等等,可以詳閱VMWare官方的列表:
VMWare Impacted Products (Under Evaluation)

有使用VMWare和ES軟體的企業請務必要注意關注此次的漏洞哦!

目前已經傳出的攻擊事件和可能的威脅~

從網路上查到的消息,因為Log4j漏洞而被攻擊並造成影響的最大事件是比利時的國防部,有部份系統因為受到攻擊影響而暫停服務!

根據TWCERT機構的公告新聞,由於 Log4j Java 程式庫的使用範圍極廣,因此專家預期可能對許多仍採用 Java 的各種網路服務業者造成極大的資安危機,有可能受到影響的廠商包括:

  • Apple
  • Amazon
  • Cloudflare
  • Twitter
  • Steam
  • Minecraft
  • 百度
  • 騰訊
  • 滴滴
  • 京東
  • 網易
  • Tesla
  • Google
  • UniFi
  • Webex
  • LinkedIn等大型網路服務業者

註:TWCERT機構就是「台灣電腦網路危機處理暨協調中心」。

面對資安漏洞和駭客攻擊,不必害怕、但要慎重處理!

資安漏洞會隨著時間消逝和科技進步而不斷出現,而駭客攻擊更是隨時都在發生,只是這些攻擊都是無聲無息,往往都要等到被駭客攻破或勒索時才會被人發現!

就像人類生病一樣,有些病痛是慢性累積、長期發生的,例如癌症,剛開始時都很難被查覺,等到病情爆發時往往已經變成重症而無可挽回。所以現在很多人都會定期做健康檢查,希望能早日發現有何病症、才能提早治療!

我覺得企業在面對資安問題、駭客攻擊時也應該要有同樣的心態,早點規劃因應之道,並做好妥善的規劃和措施,以避免企業的重要數位資料遭到駭客竊取或是營運受到嚴重影響。

★美國網路安全暨基礎架構管理署(CISA)已釋出Log4j漏洞的掃描工具,可方便企業自行檢查伺服器是否有該漏洞,掃描工具網址如下:
https://github.com/cisagov/log4j-scanner

唯有勇於面對、提早佈署,才能有機會避免資安風險的發生!