網路資安威脅
Apache Log4j 爆十年來最嚴重的漏洞,而且人人都有危險,Google、Apple、Amazon、 Netflix 等等也都無法倖免
「Log4Shell」是最近在一個名為「Log4j」的 Java 工具中被發現的漏洞,此漏洞被很多人視為有史以來最嚴重的漏洞。打個比方,網際網路現在已經火燒遍野了。不僅如此,據說就在這個漏洞被揭露的 12 小時內,網路犯罪集團就已經完全開發出對應此漏洞的攻擊武器。
Log4Shell 漏洞能讓駭客和間諜輕易進入企業機構的內部網路來竊取資料、植入惡意程式和刪除資訊。由於幾乎所有企業都在使用 Java,所以人人都有危險。 Cloudflare 的 Joe Sullivan 表示:「我很難想像有哪家企業會沒有危險」。事實上,數以百萬計的伺服器都安裝了這套軟體,那些「已經被證實」陷入危險的包括:Google、Amazon、Netflix、Android、Apple、IBM、Tesla、Badu、Twitter、Steam、Alibaba 以及 Minecraft (此漏洞首次被發現的地方)。
趨勢科技開發了一個網頁式工具「 趨勢科技 Trend Micro Log4Shell 漏洞評估工具 」來協助使用者偵測其伺服器應用程式是否含有此漏洞。
這個快速簡便、免費的的自助式安全評估工具,您可以運用Trend Micro Vision One 威脅防禦平台,識別可能受 Log4Shell 影響的端點和伺服器應用程式。這項評估可立即提供攻擊面向的詳細資訊,並提供後續處理步驟以降低資安風險。完整的趨勢科技解決方案清單, 詳情請看 。
Tenable 的 Amit Yoran 稱之為「十年來最大、最嚴重的漏洞」。不但如此,Log4Shell 根據 Apache Software Foundation 的威脅等級判定同樣也是最高等級 10 級 (10/10)。
任何人只要知道如何運用此漏洞,就能駭入使用這套 Java 軟體的電腦並取得完全掌控權。而做法就像「複製、貼上」,用訊息方式將程式碼發送出去就行。網路上第一個示範 Log4Shell 可以做到什麼的是 Minecraft 玩家。有玩家被人發現利用這個漏洞控制了對手的電腦,只要將一段簡短的程式碼貼到聊天區即可。
目前已經偵測到 60 個變種,所以未來情況相當不樂觀。有專家表示,這個漏洞可能需要「數個月的時間 (即使不用數年)」才能真正解決。目前,我們除了確定自己的資安防護更新到最新版本之外,也沒有太多可做的。
如何防範 Log4Shell 漏洞?
1. 將應用程式更新至最新版本
一些受到影響的應用程式 (如 Minecraft) 都已經針對這個漏洞釋出修補更新,其他服務和應用程式應該也會跟進,所以請務必查看是否有最新版本可用。
2.安裝一套值得信賴的防毒軟體
趨勢科技 PC-cillin 雲端版可偵測嘗試攻擊此漏洞的情況,趨勢科技網站信譽評等服務 (WRS) 已針對目前觀察到的漏洞攻擊手法攔截其使用的惡意通報與通訊管道。
PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
3.使用趨勢科技個資保鑣 (ID Security) 來保護您的個人資訊
趨勢科技個資保鑣 會搜尋暗網 (網路黑市) 上是否有犯罪集團在販賣或分享您的個人資料 (身分證字號、電子郵件地址、密碼等等)。
原文出處:Log4Shell:The Worst Bug in a Decade, Affecting Everyone Including Google, Apple, Amazon, and Netflix