該漏洞稱為Log4j,是用Java程式語言編寫的。此漏洞來自一個協助軟體開發者追蹤其應用程式變更的人氣開放原始碼產品,由於這項產品相當受歡迎,許多公司程式都有內嵌,導致影響範圍太廣泛,短時間難以澈底解決。
大型科技公司,如蘋果、特斯拉等都使用該軟體來記錄應用程式的資訊,目前亞馬遜網路服務和IBM等科技巨頭已採取行動解決漏洞。上週五(12月10日),美國政府向民間企業發出了關於Log4j漏洞的風險警告。紐西蘭和德國當局也發出警告。
在週一(12月13日)的電話會議上,美國國土安全部網路安全暨基礎安全局(CISA)的主任伊斯特利(Jen Easterly)表示,這可能是她職業生涯所見過的「最嚴重漏洞」。
雖然Log4j的製造商Apache上週五發布了對該漏洞的部分修復,但用戶需要時間來定位易受攻擊的軟體和修補,網路安全公司Cloudflare則說,早在漏洞披露之前一個多星期,駭客已經開始了進攻。
這漏洞能允許「陌生人」將活動程式輸入到紀錄中保存,進而讓駭客取得控制權。駭客利用這個漏洞有多麼的輕而易舉?安全公司Sonatype說,「就好像有人寄信給你,上面寫個特定地址,就打開你家所有的門。」
利用該漏洞的攻擊迅速增加
該漏洞最早是中國的阿里巴巴員工在11月24日發現的,隨後阿里通知了該軟體的擁有者Apache公司,直到12月9日才公開更多的細節。雖然目前尚未傳出由該漏洞導致的重大破壞性網路事件,但研究人員發現,企圖利用該漏洞進行間諜活動的駭客數量,正在急劇增加。
另一家安全公司Check Point表示,每分鐘大約新增100次駭客攻擊。該公司表示,它在全球超過 40%的企業網路上,都看到駭客企圖利用該漏洞。
專家告訴CNN,解決這些漏洞可能需要數週,但中共的駭客已經在企圖破壞。 網路資安公司麥迪安(Mandiant)技術長卡瑪卡(Charles Carmakal)表示,有中共政府背景的駭客已經開始利用該漏洞,但麥迪安拒絕詳細說明駭客針對的組織。
路透社報導,網路安全公司SentinelOne的首席研究員格雷羅-薩德(Juan Andres Guerrero-Saade)說,這個漏洞是「幾乎沒有辦法應對的惡夢之一」,他的公司也已經看到中共駭客組織開始利用該漏洞。◇