許多大規模的科技公司,例如微軟,思科,Google和IBM,甚至是政府網絡安全機構,例如CISA,已經報告了漏洞並發布了有關應對威脅的指南。
關於黑客已經大規模掃描脆弱的服務器的報導,以嘗試指示和識別軟點。如此廣泛地使用log4j的軟件可以給參與者帶來大量機會利用這種漏洞並控制整個受影響的系統,從而損害大型企業及其客戶。
Log4J軟件庫是一個充滿信息的重磅炸彈,可能會損害全球數億人
一點點的代碼,大鏡頭恐懼
Chen Zhaojun於11月24日在Minecraft中首次注意到了一個稱為Log4shell的漏洞。 log4shell是Apache的Log4J軟件庫中的一個小缺陷這可能會對數百萬的組織和行業造成巨大損害,這些組織和行業在其整個網站和應用程序中日常使用此軟件。
我認為我們不會看到世界上一個主要的軟件供應商 - 至少在工業方面 - 沒有問題
Caltagirone補充說,已經暴露出了廣泛的電力,製造,運輸,甚至食品和飲料行業。為了使事情變得最糟糕,除了無處不在的Log4J軟件庫外,它是一個非常敏感的,因為它是一個記錄用戶活動(安全性和性能數據)的庫,換句話說 - 這是一個信息重磅炸彈!因此,在錯誤的手中,它很容易導致數據剝落,憑證盜竊,勒索軟件威脅,安裝加密貨幣礦工以及其他各種非法活動。
Apache Software Foundation花了兩個星期的時間來開發和發布成功修補漏洞的修復程序。但是,到目前為止,檢測到已知惡意組織的違規嘗試中有超過一半以上,沒有人能確定有多少未知的威脅演員潛伏在陰影中。
我們在暴風雨前處於平息狀態
Sophos的高級研究員Sean Gallagher
我們正在談論一個危害所有基於Java的服務器和程序的錯誤,因此很難構想損壞的比例 - 尤其是因為整個網絡上的軟件更新需要時間來實施(並且時間至關重要)。到目前為止,尚無勒索軟件或類似感染的報導,但預計在接下來的幾週內。懷疑黑客已經在大規模掃描和存儲數據以進行未來的網絡攻擊。正如Sophos的高級研究員Sean Gallagher所說,這似乎不可避免地只是在暴風雨前平靜。
絕望的時期要求共同努力
世界各地的網絡安全專家正在努力地試圖檢測任何潛在的剝削,但恐怕他們只能刮除更大問題的表面。到目前為止,整個志願服務已經變得清晰開源軟件設計系統需要重新評估和更系統的方法,並有必要的保護性測量。
同時,專家稱這是多年來最嚴重的漏洞之一,我們都應該認真對待這一點。這是您可以採取的措施來最大程度地減少損壞並保護我們的設備:
更新,更新,更新!
我們不能充分強調定期更新的重要性。軟件更新通常會添加新功能並刪除過時的功能,這一切都很好……但是它們主要是為了修補安全孔並修復了log4shell(例如Log4shell)的錯誤 - 並以這種方式保護您的設備。
正是這樣的情況使我們想起,如果我們不採取預防措施,我們對網絡攻擊的易感性。我們所有人都傾向於採取防禦性“不會發生在我身上”的態度,而直到我們看到第一個警告信號之前,我們才採取行動。不幸的是,到那時,已經為時已晚了。因此,如果您還沒有,請立即稍作稍微更新您的所有操作系統和應用程序,尤其是您懷疑正在使用Apache代碼或Java服務器的應用程序。
手動修復
一些特別脆弱的應用程序和遊戲(例如Minecraft)為您提供了手動修復漏洞的機會。因此,如果您是Minecraft玩家,並且由於某種原因,您不希望更新到安全版本1.18.1,按照以下說明進行手冊修復。
立即保護
儘管有混亂,但領先的VPN提供商之一還是提高了解決方案。已經發布了自己針對Log4J漏洞的保障,這是對所有用戶的附加保護層 - 保護設備所需的一切就是打開VPN。這是第一個邁出了這一重要一步的VPN服務,再次證實了其VPN行業泰坦的標題。
結論
這不再是一群志願者如何錯的問題?在這一點上,這是承認整個行業的缺點,依靠盲目插入代碼片段(沒有採取足夠的預防措施),並做出重大變化。按照我們,用戶,不要忘記總是問自己 - 在這個瘋狂的環境中,我們該怎麼做才能保護自己和他人?