網路攻擊在近年來出現小幅度的改變,由於Java漏洞多、使用者更新速度慢,造成利用Java漏洞進行攻擊的比例越來越高,即便甲骨文(Oracle)持續釋出修補程式,仍然未見改善,甲骨文於4/16日釋出新的修補程式Java 7 Update 21,共修補了42個安全漏洞,其中有一個已經被駭客用來展開大規模網路攻擊。
在甲骨文這次修補的漏洞中,有39個可應用在遠端攻擊,而且不需要認證就可執行程式,至於已經被駭客利用的Java漏洞編號則為CVE-2013-2423。Oracle表示,CVE-2013-2423僅影響用戶端,而不會影響伺服器端,並只會透過非安全的Java Web Start應用程式和Java applets才會被執行,此外,CVE-2013-2423漏洞可用來卸除Java安全管理員,並在Java沙箱(sandbox)外執行遠端任意程式碼。
F-Secure指出,CVE-2013-2423漏洞於4/20被納入資安滲透測試工具Metasploit framework,隔天(4/21)就被用來展開攻擊,而且目前仍持續進行中,而Metasploit模組被利用在網路攻擊上已經不是第一次了。另外,CVE-2013-2423漏洞的攻擊形式還有:整合到網路攻擊工具包Cool Exploit Kit之中,以及用來散播勒索軟體(ransomware)-Reveton。
為免成為下一個受害者,F-Secure呼籲使用者應儘快更新至最新的Java 7 Update 21版本。另外,資安專家Eric Romang表示,CVE-2013-2423漏洞無法繞過click-to-play功能,所以只要瀏覽器支援此功能,在惡意程式執行之前,使用者會先接收到安全警告通知。
不過,即使是最新的Java 7 update 21,也還是存有安全疑慮。波蘭安全研究公司Security Explorations 執行長Adam Gowdiak表示,他已經在Java 7 update 21中發現新的漏洞,該漏洞會影響Java瀏覽器與java執行環境( Java Runtime Environment; JRE)。
資安專家呼籲,如果使用者一定要使用Java,除了儘快更新到Java 7 Update 21,並僅在可信任的網頁上執行Java之外,另外,最好透過瀏覽器Google Chrome或Mozilla Firefox所提供的click-to-play功能,避免在未經同意情況下就執行plug-in程式。