資安界早已料到這樣的情況總有一天會發生,所以當我們在 12 月初從新聞上看到這個 CVSS 嚴重性等級 10.0 的新漏洞時,一股恐懼立即湧上心頭。全球現在都已感受到這個漏洞的衝擊,因為所有犯罪集團都在忙著趕在企業機構套用修補更新之前,對這個漏洞發動攻擊。因此這事件肯定會持續延燒數個月,甚至長達數年。
從趨勢科技客戶的最新資料就能看出 Log4Shell 在全球的影響有多麼重大深遠,並且遍及各式各樣的應用程式。所以,趨勢科技仍在持續研究 Log4j 漏洞與其潛在的最新攻擊管道,希望能藉此協助企業更了解自己可能有哪些地方暴露在危險中。
推薦閱讀:
- 企業該如何處理 Log4j 漏洞問題?
- 【Log4j爆核彈級漏洞】端點裝置是否有遭到 Log4Shell 攻擊的危險?
- Apache Log4j 爆十年來最嚴重的漏洞,而且人人都有危險,Google、Apple、Amazon、 Netflix 等等也都無法倖免
請立即修補:一個名為「Log4Shell 」的 Apache Log4j 漏洞正遭受猛烈攻擊 - Log4Shell漏洞已被開採散布勒索軟體
事件發生經過
Log4j 是一個非常熱門、專門用來提供記錄檔功能的 Java 函式庫,許多平台都會用到它,例如 Minecraft 和 Elasticsearch。12 月初,開放原始碼軟體廠商 Apache 針對此函式庫一個名為「Log4Shell」的高嚴重性漏洞釋出了修補更新。但隨後不久,駭客便立即開發出對應此漏洞的攻擊手法,並開始對企業機構發動勒索病毒、散播虛擬加密貨幣挖礦程式、竊取資料等等。為何這個漏洞如此危險?
- Log4j 在現代化企業當中幾乎無所不在,不論是第三方或自家開發的應用程式都可能用到。
- 由於 Java 應用程式相依元件的關係錯綜複雜,因此要找出正在執行 Log4j 的應用程式並加以修補,有時不是件容易的事。
- 視應用程式而定,駭客可能有多個可用的攻擊途徑。以 Minecraft 為例,其攻擊方式據說非常簡單,只需將某個字串貼入聊天區域即可。
- 此漏洞可讓駭客從遠端執行程式碼,進而在目標電腦上安裝惡意程式碼來發動各種攻擊。
Log4j 的普及程度
趨勢科技的最新研究資料指出這項威脅有多麼普及,儘管整體而言,我們只有 7% 的客戶受到影響,但他們卻廣泛分布在全球各地:歐洲 (26%)、美洲 (33%)、日本 (16%)、歐洲中東及非洲 (25%)。就國家排行來看,美國的案例最多 (5,069 例),其次是日本 (4,223 例)。此外,這項威脅也深入各大垂直產業。趨勢科技客戶當中受影響最深的前三大產業分別為:政府機關 (1,950 例)、零售業 (1,537 例) 及製造業 (1,507 例)。
前面提到 Log4j 是一個非常熱門的 Java 記錄檔函式庫。根據我們的資料,桌上型電腦軟體最常用到它的有 StandAlone Doc Browser、724Access、VMware 和 Minecraft。在伺服器上則是 Tableau、PowerChute Business Edition、spectrumcontrol 和 Tomcat。
不過事情還沒完,我們還發現,有些應用程式在某些地區受影響的情況較高。例如在日本,受影響最嚴重的是 SIOS.QuickAgent2。若就垂直產業來看,Tableau 和 VMware 在政府機關、零售及製造業受影響的情況最為普遍。在政府機關,排行第三名的軟體是 ArcGIS,而零售業是 SASEnvironmentManager,製造業則是 Informatica Cloud Security Agent。了解 Log4j 可能出現在哪些軟體,對於降低漏洞攻擊的風險非常重要。
新的 DoS 威脅
這起事件目前又出現了另一個發展方向,這部分要歸功於趨勢科技研究人員 Guy Lederfein 以及趨勢科技的 Zero Day Initiative (ZDI) 漏洞懸賞計畫。該研究人員在 Log4j 發現了 一個新的阻斷服務 (DoS) 漏洞,該漏洞隨後已經修補。
身為全球最大的非限定廠商漏洞懸賞計畫,ZDI 的使命從未顯得如此重要。因為,鼓勵全球各地的研究人員搶先在駭客之前發現新的漏洞是一件非常重要的事,因為就像 Log4j 這類極為熱門的軟體一旦被發現漏洞,其損害很可能一下子就會迅速擴大。
趨勢科技隨時都能協助客戶解決此漏洞的問題,並製作了一個免費評估工具來幫助您找出 IT 環境內所有用到 Log4j 的應用程式。您可到這裡來掌握最新的相關資訊。