既然Log4Shell cat 已經不存在了,研究人員正在試驗該漏洞可以在野外使用的所有不同方式。
這包括最近的兩個示例,展示瞭如何在 iPhone 或 Tesla 汽車上使用 Log4j 開源 Java 工具中的漏洞來破壞與端點通訊的伺服器。
一位荷蘭研究人員演示瞭如何將 iPhone 的名稱更改為字串會迫使另一端的伺服器嘗試訪問特定的 URL。一位不知名的研究人員對一輛特斯拉汽車做了同樣的事情,他們將他們的結果釋出到匿名的 Log4jAttackSurface Github 儲存庫。
日益增長的風險
從理論上講,惡意行為者可以在伺服器上託管惡意軟體,然後透過更改 iPhone 的名稱,可以強制 Apple 的伺服器訪問該伺服器的 URL 並下載惡意軟體。
不過,這是一個長期目標,因為任何維護良好的網路都能夠相對輕鬆地防止此類攻擊。此外,The Verge 進一步解釋說,沒有跡象表明這種方法會導致這些公司的任何更廣泛的妥協。
極強的脆弱性
Log4Shell 是最近在 Log4j Java 工具中發現的漏洞的名稱,一些研究人員認為該工具可以處理數百萬臺裝置以進行事件記錄。
美國網路安全和基礎設施安全域性 (CISA) 局長 Jen Easterly 將這一缺陷描述為她在整個職業生涯中所見過的“最嚴重的缺陷之一”,“如果不是最嚴重的”。
Easterly 解釋說:“我們預計該漏洞將被老練的參與者廣泛利用,我們採取必要措施以減少損害的可能性的時間有限。”
它被跟蹤為 CVE-2021-44228,並允許惡意行為者執行幾乎任何程式碼。專家警告說,利用該漏洞所需的技能非常低,並敦促大家儘快修補 Log4j。
在其軟體中使用 Log4j 的組織應立即將其升級到最新的 2。15 版本,該版本可從Maven Central 獲得。
