Apache Log4j日誌軟體漏洞Log4Shell 引發全球企業及政府趕忙修補，不過資安專家呼籲 IT 部門，應確認安裝的是最新版修補程式，近期釋出的版本未能修補完全，而衍生新漏洞。編號CVE-2021-44228 的Log4j 漏洞讓遠端攻擊者發送惡意log訊息，即可開採以執行任意程式碼，影響知名網站如 蘋果iCloud、微軟Azure、Amazon、Google等，以及IBM、Red Hat、VMware ，被視為近10年 最嚴重的漏洞，前陣子 Apache基金會釋出Log4j 2.15.0，不過Apache基金會周一又再釋出2.16.0版。原來是因為之前版本並未能完全解決漏洞。

 

2.16.0版是為了修補被列為 CVE-2021-45046的新漏洞，攻擊者在輸入Log4j2 ThreadContext（MDC）資料時使用非預設的Patten Layout改造成惡意查詢輸入，可引發DoS攻擊。2.16.0版可解決這個問題。但問題並不只如此，經研究發現2.15.0版依然允許攻擊者在某些情況下外洩敏感資訊，後續相關單位建議用戶應盡速升級到2.16.0 版。

 

企業及政府機構動作要快，因為安全廠商警告，掃瞄系統漏洞的活動數量，和類型快速增加，上週已偵測網路有在受害系統安裝採礦軟體、木馬程式及Cobalt Strike意圖的活動。此外還有殭屍網路病毒Mirai、Tsunami/Muhstik和Kinsing。本周駭客企圖開採漏洞散布第一隻勒索軟體Khonsari。 

 

在微軟情報組最新分析下，已觀測來自中國、伊朗、北韓及土耳其等多個國家支持的駭客組織，開始利用 Log4Shell/CVE-2021-44228 進行的活動涵括開發中的測試、將漏洞的Hafnium。微軟發現該中國駭客組織利用DNS服務來辦事並擴大目標範疇。

 

此外，微軟Microsoft 365 Defender部門也發現多個銷售攻擊服務的組織利用Log4Shell漏洞。他們提供存取管道給勒索軟體即服務（ransomware-as-a-service）同夥，讓最終端「客戶」得以在受害者網路上植入勒索軟體。Linux和Windows都是這幫歹徒的目標，微軟預期不久後，人為操作的勒索軟體攻擊會更頻繁。CISA已經將Log4Shell漏洞加入到「已知被開採漏洞」清單，要求美國聯邦政府機關緊急修補或緩解該漏洞。美國國土安全部的安全命令要求聯邦政府，必須在12月24日前完成修補。

 

參考資料:

https://www.ithome.com.tw/news/148391

https://bard.google.com/chat/34d42a1789308b41