Log4j 利用多樣化來暴露流行的應用程序和服務漏洞，問題可能會持續存在

就在您認為 2021 年對網絡安全來說已經夠糟糕的時候，隨著過去 12 個月發生的所有引人注目的勒索軟件攻擊和大規模數據洩露，Log4j 漏洞出現並勝過其他一切。

來自安全機構的最新報告表明，利用該漏洞的替代方法正在增加和變異，而且這個問題也很可能會困擾我們一段時間。該漏洞利用可能會發現Internet 上一些最流行的應用程序和服務中的漏洞。

"完美 10"漏洞

Log4j 漏洞命名為 LogShell，記錄為 CVE-2021-44228，最高嚴重性評分為 10，於 2021 年 11 月下旬被阿里巴巴首次發現，此後一直被大量利用。從本質上講，它是一個遠程代碼執行錯誤，會影響從在線平台到遊戲客戶端和服務的大量服務。

根據 Check Point 的安全研究人員的說法，在短短幾天內，威脅行為者已經提出了驚人的 60 多種初始漏洞的變體和更改。此外，還引入了利用 Log4j 的新方法，包括使用 HTTP 或 HTTPS 的漏洞利用，這只是為攻擊提供了已經很大的表面積，甚至是更多威脅參與者可以訪問的新入口點。

該漏洞最初主要用於在受感染的系統上安裝加密挖掘工具，並將其資源用於非法挖掘。然而，在短短幾天內，這一重點已轉向數據洩露。

揮之不去的痛

該漏洞利用提供的令人難以置信的表面積也意味著即使在全球範圍內推出和應用補丁，在未來幾個月內仍將存在易受攻擊的系統。 Log4j 很容易被利用，並且不需要過多的技能或非常高端的工具。同時，它駐留在一個非常普遍且經常與其他服務和解決方案捆綁在一起的組件中。所有這些都使 Log4j/LogShell 成為一個需要處理的非常棘手的問題。

網絡安全公司 Imperva 報告稱，每小時觀察到超過 25 萬次攻擊，隨著攻擊的新修改和變體被發現，這個數字預計還會增加。