資安界早已料到這樣的情況總有一天會發生,所以當我們在 12 月初從新聞上看到這個 CVSS 嚴重性等級 10.0 的新漏洞時,一股恐懼立即湧上心頭。全球現在都已感受到這個漏洞的衝擊,因為所有犯罪集團都在忙著趕在企業機構套用修補更新之前,對這個漏洞發動攻擊。因此這事件肯定會持續延燒數個月,甚至長達數年。
從趨勢科技客戶的最新資料就能看出 Log4Shell 在全球的影響有多麼重大深遠,並且遍及各式各樣的應用程式。所以,趨勢科技仍在持續研究 Log4j 漏洞與其潛在的最新攻擊管道,希望能藉此協助企業更了解自己可能有哪些地方暴露在危險中。
事件發生經過
Log4j 是一個非常熱門、專門用來提供記錄檔功能的 Java 函式庫,許多平台都會用到它,例如 Minecraft 和 Elasticsearch。12 月初,開放原始碼軟體廠商 Apache 針對此函式庫一個名為「Log4Shell」的高嚴重性漏洞釋出了修補更新。但隨後不久,駭客便立即開發出對應此漏洞的攻擊手法,並開始對企業機構發動勒索病毒、散播虛擬加密貨幣挖礦程式、竊取資料等等。為何這個漏洞如此危險?
- Log4j 在現代化企業當中幾乎無所不在,不論是第三方或自家開發的應用程式都可能用到。
- 由於 Java 應用程式相依元件的關係錯綜複雜,因此要找出正在執行 Log4j 的應用程式並加以修補,有時不是件容易的事。
- 視應用程式而定,駭客可能有多個可用的攻擊途徑。以 Minecraft 為例,其攻擊方式據說非常簡單,只需將某個字串貼入聊天區域即可。
- 此漏洞可讓駭客從遠端執行程式碼,進而在目標電腦上安裝惡意程式碼來發動各種攻擊。
那些軟體、行業受Log4j 漏洞影響
趨勢科技的最新研究資料指出這項威脅有多麼普及,就國家排行來看,美國的案例最多 (5,069 例),其次是日本 (4,223 例)。此外,這項威脅也深入各大垂直產業。趨勢科技客戶當中受影響最深的前三大產業分別為:政府機關 (1,950 例)、零售業 (1,537 例) 及製造業 (1,507 例)。
前面提到 Log4j 是一個非常熱門的 Java 記錄檔函式庫。根據我們的資料,桌上型電腦軟體最常用到它的有 StandAlone Doc Browser、724Access、VMware 和 Minecraft。在伺服器上則是 Tableau、PowerChute Business Edition、spectrumcontrol 和 Tomcat。
不過事情還沒完,我們還發現,有些應用程式在某些地區受影響的情況較高。例如在日本,受影響最嚴重的是 SIOS.QuickAgent2。
若就垂直產業來看,主要受影響的情況有:
- Tableau 和 VMware 在政府機關、零售及製造業受影響的情況最為普遍。在政府機關,排行第三名的軟體是 ArcGIS;
- 零售業是 SASEnvironmentManager;
- 製造業則是 Informatica Cloud Security Agent。
了解 Log4j 可能出現在哪些軟體,對於降低漏洞攻擊的風險非常重要。
本文節錄自趨勢科技部落格。