就在我们了解到国家资助的黑客已开始研究上周震撼网络安全世界的Log4j漏洞时,其他研究人员发出了令人不安的发展迹象.Log4jhack,也称为Log4Shell,已经有一个补丁可以部署到企业。但事实证明,这个补丁起到了“套娃”的作用:解决了原有问题的同时又产生了新的安全问题,并且可以被外部利用。因此,希望保护其系统免受Log4j攻击的公司必须部署一个新补丁来修复以前的补丁。正如我们之前的报道中所解释的,Log4j黑客攻击非常危险。那是因为它几乎影响到所有提供互联网服务的公司。该安全漏洞存在于广泛使用的Java日志记录工具中。自上周四披露该漏洞以来,网络安全研究人员已经目睹了数十万次利用该漏洞的尝试。这包括来自国家资助的黑客的攻击,与大多数黑客相比,他们拥有大量的资源可供使用。只要互联网公司不将现有的Log4j补丁应用到他们的系统中,他们就会面临风险。黑客可以使用Log4j黑客技术在没有密码的情况下访问计算机服务器。他们可以从那里安装其他恶意程序。这些工具将使他们能够窃取信息、进行勒索软件攻击或挖掘加密货币。根据最初描述安全问题的报告,《Minecraft》中的一个漏洞被利用。微软迅速为我的世界打补丁,并不断向外界发布有关Log4j漏洞的安全更新。普通最终用户无法自行修复Log4j漏洞。这不像将操作系统或应用程序更新到最新、最安全的版本那么容易。必须部署最新的Log4j补丁以保护服务器的是互联网公司。但安全研究人员在Apache基金会上周发布的Log4j2.15.0补丁中发现了至少两个需要修复的漏洞。报告称,已经安装Log4j2.15.0的组织应尽快安装2.16.0版。根据一些研究人员的说法,Log4j2.15.0的补丁“在某些非默认配置中”是不完整的。反过来,这允许攻击者对打了补丁的系统发起攻击。Praetorian的安全研究人员也详细介绍了新的安全问题,他们解释说黑客仍然可以从部署了Log4j2.15.0补丁的服务器中窃取数据。“在我们的研究中,我们已经证明2.15.0在某些情况下仍然可以泄露敏感数据,”研究人员说。“我们已经将这个问题的技术细节传递给了Apache基金会,但与此同时我们强烈建议客户尽快升级到2.16.0。”Praetorian发布了一个针对Log4j2.15.0补丁的概念验证攻击,但没有透露使其成为可能的技术细节。了解更多:https://github.com/cckuailong/Log4j_CVE-2021-45046
