![EXPLAINER: The security flaw that's freaked out the internet](https://www.phyica.com/up/kjxw/explainer-the-security.jpg "Lydia Winters shows off Microsoft's "Minecraft" built specifically for HoloLens at the Xbox E3 2015 briefing before Electronic Entertainment Expo, June 15, 2015, in Los Angeles. Security experts around the world raced Friday, Dec. 10, 2021, to patch one of the worst computer vulnerabilities discovered in years, a critical flaw in open-source code widely used across industry and government in cloud services and enterprise software. Cybersecurity experts say users of the online game Minecraft have already exploited it to breach other users by pasting a short message into in a chat box. Credit: AP Photo/Damian Dovarganes, File")
莉迪亚·温特斯展示微软的& quot《我的世界》& quot2015年6月15日,在洛杉矶举行的电子娱乐博览会之前的Xbox E3 2015发布会上,专为HoloLens打造。2021年12月10日星期五,世界各地的安全专家竞相修补多年来发现的最严重的计算机漏洞之一,这是在云服务和企业软件中广泛应用于行业和政府的开源代码中的一个关键缺陷。网络安全专家表示,在线游戏“《我的世界》”的用户已经利用它,通过在聊天框中粘贴一条短消息来攻击其他用户。信用:美联社图片/ Damian Dovarganes,文件安全专家说,这是他们见过的最严重的计算机漏洞之一。包括微软在内的公司表示,受到国家支持的中国和伊朗黑客以及流氓加密货币矿工已经抓住了这个机会。国土安全部已经敲响了可怕的警钟,命令联邦机构紧急寻找和修补bug实例,因为它很容易被利用——并告诉那些拥有面向公众的网络的人,如果他们不能确定,就建立防火墙。一小块代码,受影响的软件往往无证。
该漏洞存在于一个被广泛使用的名为Log4j的实用程序中,使得基于互联网的攻击者能够轻松控制从工业控制系统到网络服务器和消费电子产品的一切。识别哪些系统使用该实用程序是一项挑战;它通常隐藏在其他软件的层之下。
美国最高网络安全防御官员珍·伊斯特利(Jen Easterly)周一在与州和地方官员以及私营部门合作伙伴的电话中认为,这一缺陷是“我整个职业生涯中见过的最严重的缺陷之一,如果不是最严重的话”。上周四公开披露,它是网络罪犯和数字间谍的“猫薄荷”,因为它允许轻松、无密码的输入。
伊斯特利运营的网络安全和基础设施安全局(简称CISA)周二建立了一个资源页面,以处理该机构称存在于数亿台设备中的漏洞。其他计算机化程度很高的国家我们也同样重视,德国启动了国家信息技术危机中心。
顶级网络安全公司Dragos表示,包括电力、水、食品和饮料、制造和运输在内的一系列关键行业都遭到了曝光。该公司威胁情报副总裁塞尔吉奥·卡尔塔螺酮(Sergio Caltagirone)表示:“我认为,我们不会看到世界上有一家主要的软件供应商——至少在工业方面——不会对这一点有任何问题。
CISA网络安全部门负责人埃里克·戈尔茨坦说,据知没有任何联邦机构受到损害。但现在还为时尚早。
他说:“我们现在拥有的是一个极其广泛、易于利用且具有潜在高度破坏性的漏洞,对手肯定会利用这个漏洞造成真正的伤害。
一小段代码,一个充满麻烦的世界
受影响的软件用Java编程语言编写,记录用户活动。由少数志愿者在开源Apache软件基金会的支持下开发和维护,深受商业软件开发人员的欢迎。根据安全公司Bitdefender的说法,它运行在许多平台上——Windows、Linux、苹果的macOS——为从网络摄像头到汽车导航系统和医疗设备的一切提供动力。
果尔德施坦因在周二晚间的电话会议上告诉记者,随着修补程序的出现,CISA将更新修补软件的清单。“我们预计补救需要一些时间,”他说。
阿帕奇软件基金会表示,中国科技巨头阿里巴巴于11月24日通知了该缺陷。开发和发布修复程序花了两周时间。
除了打补丁,计算机安全专家还有一个更艰巨的挑战:试图检测漏洞是否被利用——网络或设备是否被黑客入侵。这将意味着数周的积极监测。在黑客利用它们之前,试图识别——并关上——敞开的大门的疯狂周末现在变成了一场马拉松。
暴风雨前的平静
网络安全公司Gigamon的威胁情报主管乔·斯洛维克说:“很多人已经因为周末的工作而感到非常紧张和疲惫——在可预见的未来,也就是2022年,我们真的会处理这个问题。”。
网络安全公司Check Point周二表示,它检测到超过50万个已知的恶意行为者试图在全球范围内的语料库网络上发现该漏洞。该公司表示,该漏洞被用来在五个国家安装加密货币挖掘恶意软件——利用计算周期秘密挖掘数字货币。
到目前为止,还没有检测到利用该漏洞的成功的软件感染,尽管微软在一篇博客文章中表示,已经检测到入侵网络并向软件团伙出售访问权限的犯罪分子利用了Windows和Linux系统中的漏洞。它表示,犯罪分子也在迅速将这一漏洞纳入僵尸网络,这些僵尸网络为达到盗窃目的而围捕多台僵尸计算机。
“我认为将会发生的是,这种影响需要两个星期才能显现出来,因为黑客进入了组织,将会确定下一步该怎么做。”Cloudflare首席技术官约翰·格雷厄姆-卡明斯(John Graham-Cumming)的在线基础设施保护网站免受在线威胁。
网络安全公司Sophos的高级研究员肖恩·加拉格尔说,我们正处于风暴来临前的平静期。
“我们预计,对手很可能会尽可能多地获取他们目前能获得的任何东西,以期在以后从中获利和/或获利。”这将包括提取用户名和密码。
微软和网络安全公司Mandiant表示,国家支持的中国和伊朗国家黑客已经在利用这一漏洞进行间谍活动。微软表示,朝鲜和土耳其政府支持的黑客也是如此。曼迪安特高级分析师约翰·胡特奎斯特(John Hultquist)不愿透露目标,但他表示,伊朗行为者“特别好斗”,并参与了针对以色列的勒索攻击,主要是为了颠覆目的。
微软表示,2021年初利用其内部交换服务器软件缺陷的同一个中国网络间谍组织正在使用Log4j来“扩展他们的典型目标。”
软件:设计不安全?
专家说,Log4j事件暴露了软件设计中一个处理不当的问题。太多用于关键功能的程序在开发时没有充分考虑安全性。
Gigamon的斯洛维克说,像负责Log4j的志愿者这样的开源开发者不应该受到太多的指责,因为整个行业的程序员经常在没有尽职调查的情况下盲目地包含这些代码的片段。
流行的定制应用程序通常缺少“软件物料清单”,让用户知道幕后是什么——在这种时候,这是一个至关重要的需求。
Dragos的Caltagirone说:“随着软件供应商总体上利用公开可用的软件,这显然越来越成为一个问题。
他补充说,尤其是在工业系统中,过去从供水设施到食品生产等所有领域的模拟系统在过去几十年里都进行了数字化升级,以实现自动化和远程管理。“显然,他们这样做的方式之一是通过软件和使用利用Log4j的程序,”卡尔塔螺酮说。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
