Log4Shell 潜在的攻击面仍然很重要
Log4Shell有时被称为使用Log4j句柄,以发现它的 Apache Java 库的名称命名,被许多分析师和安全专家称为十年来的软件漏洞。该漏洞是在 2021 年底发现的。四个月后,数十次警告和警报过后,就 Log4Shell 而言,全球 IT 环境到底有多安全?
Log4Shell 报告不乐观
安全公司 Rezilion 的一组研究人员进行了一项分析,试图估计仍然容易受到 Log4Shell 攻击的系统的潜在攻击面。该漏洞位于在 Java 上运行的广受欢迎的 Apache 日志库的旧版本中。 Rezilion 研究小组的发现并不令人鼓舞。
正如人们所预料的那样,Rezilion 也希望,由于在 Log4Shell 的发现之后发布的源源不断的媒体报道、文章和警报,绝大多数运行易受攻击软件的实例早已被修补。然而,该团队的发现并不像他们希望的那样积极。
Rezilion 关于潜在攻击面分析的报告称全球 Log4Shell 情况“远非理想”。使用专门的 Shodan 引擎,该团队扫描了易受 Log4Shell 攻击的过时版本的软件和服务器。结果是惊人的 90,000 个漏洞点暴露在互联网上。根据研究小组的说法,这个数字虽然已经很重要,但与 Log4Shell 的全部潜在攻击面相比,它只是“冰山一角”。
由于微软拥有的游戏非常受欢迎,Minecraft 服务器在研究报告中被单独列为一个完全独立的类别。
Log4Shell 长游戏
威胁攻击者在发现漏洞后数小时内就开始四处搜寻,因为他们知道运行包含该漏洞的 Java 日志框架的大量设备将需要大量时间来修补。自漏洞被发现以来,每周都会涌现出新的方法和尝试以不同方式处理漏洞。
虽然这种广泛存在的漏洞的攻击面可能永远不会完全消失,但数字仍然令人担忧,预计未来几个月会有更多利用 Log4Shell 的尝试。