创科广场｜Java SE保安漏洞影响深远 侦查阻截攻击分秒必争

世界轮转流，较早前Microsoft的Exchange服务器出现了保安漏洞，而Apache亦发现Log4j弱点，称为Log4Shell，影响更加广泛，导致Java SE 和Apache可非授权从远程执行恶意代码，涉及的应用和系统更加广泛，而有关攻击，更可能会持续多年。

香港电脑保安事故协调中心（HKCert）亦把上述编号CVE-2021-44228的Log4J漏洞订为「极高风险」（Extremely High Risk）水平，而CVE-2021-44228的通用漏洞评分系统CVSS风险评分更是10分满分，有保安专家称之为近10年最严重漏洞。

Cloudflare行政总裁Matthew Price认为，Log4j弱点是继Heartbleed、ShellShock之后最为严重的漏洞。

CVE-2021-44228是开源日志应用Apache Log4j内可供远端代码执行的严重漏洞，攻击者可利用该漏洞远端执行恶意程式码，甚至直接骑劫服务器，加入恶意程式或勒索软件。

Log4J漏洞「极高风险」

Apache Log4j某些功能存在递回的解析功能，黑客可直接构造恶意的指令请求，触发远端代码执行漏洞。用户使用Apache Log4j2处理日志时，漏洞对用户输入内容先进行特殊处理，便可在Log4j中发出指令触发远端代码执行，相当简单。

虽然Log4j的漏洞刚刚出现不久，但是有保安谘询公司已录得黑客利用漏洞传送恶意程式和勒索软件，Bitdefender已发现有黑客透露漏洞下载Kohnsari勒索软件，原因似乎是软件的体积较小，不过Kohnsari也较易被病毒扫描软件发现。

罗兵咸永道香港网络安全及私隐服务合夥人颜国定估计Log4j影响甚大，防止系统受攻击最佳途径则是尽快堵塞漏洞，不同技术厂商可快速修补漏洞。

受影响厂商为数众多

他预期，系统即使受到攻击，受到感染问题也不会即时浮现，未来2星期不少企业系统可能陆续出现问题。

此问题会亦影响众多Java应用，网上列出受影响产品厂商极多，用户要逐一升级修补，也可以虚拟修补（Virtual Patching）暂时处理。

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

颜国定说，Log4j应用非常广泛，加上漏洞相对容易攻击，而受影响厂商为数众多，可能挂一漏万而受攻击，Log4j影响Java应用，不少中间件、开发框架与Web应用也受牵连，另一方法则是侦察入侵，从前端阻截黑客的入侵。

升级定义档侦查和栏截

Barracuda级销售工程师李瀚立表示，企业可通过云端的Web Application Firewall（WAF）去侦察和化解攻击，不过一般WAF必须自行升级定义档（Signature），而Barracuda的WAF-as-a-Service在发现漏洞后马上已宣布升级了定义档，可侦查Log4j攻击和栏截，属于最快作出反应的保安厂商之一，其他云端的WAF纷纷公布，已加入防御Log4j弱点。

漏洞牵连广远，各大保安厂商亦纷纷发出特别通告，提醒客户如何防备有关攻击，相信经此一役，愈来愈多企业都加强防御，以免漏洞遭黑客利用作为攻击工具。