LOG4J:科技公司争先恐后地修复“威胁整个互联网

来源:未知       编辑:亚搏体育全站app
2021-12-20 19:49
<p>该漏洞称为 Log4shell,在 Apache 的 Log4j 软件库中发现,可帮助开发人员跟踪他们构建的应用程序中的更改</p>
科技公司表示,黑客已经在利用漏洞窃取数据和凭据,并在受影响的系统中安装加密矿工


世界各地的科技公司都面临着修复软件漏洞的压力,许多网络安全专家称之为近年来发现的最糟糕的漏洞之一。
 
该漏洞被称为 Log4shell,在Apache的 Log4j 软件库中被发现,可帮助开发人员跟踪他们构建的应用程序中的更改。
 
据 Crowdstrike 称,该软件缺陷首先在迎合流行视频游戏Minecraft 的网站上发现,并于 11 月 24 日由阿里巴巴的陈兆军正式报告给 Apache。
 
 
但很快就发现该漏洞具有深远的影响,因为该软件无处不在,在互联网上的数百万应用程序中使用,包括亚马逊网络服务、苹果的 iCloud 和视频游戏分发服务 Steam。
 
专家表示,该漏洞可让黑客控制基于 Java 的 Web 服务器并使其能够执行远程代码执行 (RCE) 攻击,他们可能会利用这些攻击来控制受影响的系统。
 
 
包括微软、IBM、思科和谷歌在内的主要科技公司,以及美国网络安全和基础设施安全局 (CISA) 等政府机构都发现他们的一些服务存在漏洞,并就如何最好地发布了建议和指南。应对威胁。
 
微软在一份声明中指出,已经有报道称,黑客正在大规模扫描服务器,并试图通过指纹识别和识别易受攻击的系统。
 
这家科技巨头补充说,在扫描后,还观察到了开发和开发后活动。
 
 
微软指出,一旦黑客获得对应用程序的完全访问和控制,根据攻击者利用的漏洞,他们还可以执行无数目标,例如安装加密货币矿工、凭据盗窃和数据泄露。
 
 
“Log4j 广泛用于各种消费者和企业服务、网站和应用程序以及运营技术产品中,以记录安全和性能信息。未经身份验证的远程参与者可以利用此漏洞来控制受影响的系统,”CISA 在一份声明中指出。
 
 
CISA 主管 Jen Easterly 表示,该漏洞已经“被越来越多的威胁行为者广泛利用”,并补充说该机构正在与美国的公共和私营部门合作伙伴密切合作,以主动解决该漏洞。
 
“需要明确的是,这个漏洞带来了严重的风险。我们只会通过政府和私营部门之间的合作努力将潜在影响降至最低。我们敦促所有组织与我们一起参与这项必不可少的工作并采取行动,”Easterly 女士补充道。
 
公司强烈敦促使用 Log4j2 管理应用程序的客户更新到最新版本,或其操作系统的软件更新机制。
 
微软拥有的 Minecraft 指出,该漏洞已“通过修补游戏客户端的所有版本解决”。但它补充说,用户仍然需要采取额外的措施,例如寻找新的软件更新来保护游戏和他们自己的服务器。
 
思科表示,包括广泛使用的 Cisco Webex 会议服务器在内的几款产品都存在漏洞,并补充说它正在调查其是否有更多应用程序面临风险。
 
谷歌表示,它目前正在与 VMWare 合作,并将在可用时部署修复程序。
 
由于许多组织,尤其是发展中国家的组织,没有对其使用的软件进行明确的审计,专家表示,应对威胁的最大挑战之一是跟踪可能受到影响的数亿台设备。
 
 
在其咨询中,英国国家网络安全中心建议所有组织在已知使用 Log4j 的地方立即安装最新更新。
 
“受影响的英国组织应通过我们的网站向 NCSC 报告与此漏洞有关的任何妥协证据,”它补充说。


广告位810*200
相关阅读
3G 关闭影响的不仅仅是您的手机——这些

3G 关闭影响的不仅仅是您的手机——这些

虽然您并不总是需要最新和最好的技术小工具,但有时升级是必不可少的。 许多人都是这种情...

2021-12-29
CNBC专业版 在令人失望的首次亮相后,华

CNBC专业版 在令人失望的首次亮相后,华

Grab Holdings Inc. 首席执行官 Anthony Tan(中右)和 Grab Holdings Inc. 联合创始人 Tan Hooi Ling 在敲钟仪...

2021-12-29
WordPress 创始人 Matt Mullenweg 就互联网的未

WordPress 创始人 Matt Mullenweg 就互联网的未

Automattic 首席执行官兼 WordPress 创始人 Matt Mullenweg 加入“TechCheck”,讨论他们互联网的未来。...

2021-12-29
基于计算机和智能手机的治疗可有效减轻

基于计算机和智能手机的治疗可有效减轻

基于计算机和智能手机的治疗似乎可以有效减轻抑郁症的症状,虽然尚不清楚它们是否与面对...

2021-12-28
互联网能源分析中的常见错误

互联网能源分析中的常见错误

在理解和预测能源使用趋势方面,互联网是一个难以破解的难题。 加州大学圣巴巴拉分校的能...

2021-12-28