研究人員剛剛在一個名為 Log4J 的軟體程式中發現了一個安全漏洞,該程式被眾多私營、商業和政府實體廣泛使用,用於記錄從使用者名稱和密碼到信用卡交易的各種詳細資訊。自從上週末發現該故障以來,網路安全社群一直在爭先恐後地保護應用程式、服務、基礎設施甚至物聯網裝置免受犯罪分子的侵害——犯罪分子已經開始利用這一漏洞。
“對於網路犯罪分子來說,這就像是提前到來的聖誕節,因為天空才是極限,”前白宮資訊長兼網路安全諮詢公司 Fortalice Solutions 的執行長特蕾莎·佩頓說。“他們真正受限的只是他們的想象力、他們的技術訣竅以及他們自身利用這個漏洞的能力。”佩頓與《大眾科學》談論了 Log4J 的作用、犯罪分子如何利用其新發現的弱點以及修復這個問題需要什麼。
[以下是採訪的編輯稿。]
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於發現和塑造我們當今世界的想法的具有影響力的故事。
什麼是 Log4J,它是如何使用的?
在技術和網路安全團隊中,每個人都需要非常好的日誌。您需要日誌來進行審計跟蹤,以防發生勒索軟體事件,進行取證,有時還需要考慮監管因素。因此,[Log4J] 是一種 Java 功能,您可以在其中記錄事物。您可以記錄某人使用了這種特定型別的信用卡,您可以記錄某人今天剛剛登入的事實,可以捕獲任意數量的不同型別的事件。
但是 Log4J 有一個重大的安全漏洞。
這種型別的漏洞意味著有人可以將指令注入到日誌中,並使日誌執行他們希望它們執行的任何操作。研究人員在 12 月初發現了這個漏洞——我總是說感謝研究人員——。基本上,它允許攻擊者對伺服器進行未經身份驗證的遠端程式碼訪問。因此,他們可以傳送指令,他們可以執行操作,並有可能完全不被檢測到地執行。已經有攻擊者利用 Log4J 漏洞的例子。他們已經在不知情的機器上安裝了 加密貨幣挖礦惡意軟體。如果我們回顧一下物聯網 被 Mirai 殭屍網路接管,Mirai 殭屍網路似乎也在嘗試利用它。
網路犯罪分子還能利用這個漏洞做什麼?
因為它正在記錄日誌,所以您可能會注入一個指令,例如“當您記錄使用者的登入憑據時,也將其傳送到這裡”。這將是網路犯罪分子設定用來捕獲登入憑據的地方。您幾乎可以建立自己的網路犯罪分子命令和日誌控制。日誌可以記錄幾乎任何內容,例如登入名、信用卡資訊、支付資訊。這僅僅取決於開發人員如何決定使用日誌記錄的這個特性和功能:日誌中有什麼型別的資料,以及它是否被加密。問題是,日誌記錄周圍是否有不同的安全措施?以及是否有任何型別的日誌記錄監控來檢視日誌記錄本身是否存在異常行為?如果一個組織沒有尋找異常行為,他們就不會注意到,一旦使用者 ID 和密碼被記錄下來,它也去了其他地方。
在安全團隊方面——當我們都在爭分奪秒地尋找、修補、修復、觀察、記錄和嘗試修復這些問題時——網路犯罪分子將利用該漏洞。網路犯罪分子傾向於共享和建立不同的攻擊。很可能會有犯罪軟體即服務,可供網路犯罪分子和非技術人員利用。
對於不從事網路安全工作,但在日常生活中使用應用程式和服務的人們來說,這意味著什麼?
您可能會發現自己是身份盜竊的受害者。您可能會嘗試登入——以從您與之開展業務的任何數量的公司獲得服務——並發現他們遇到了中斷,他們可能正在處理這個問題。您可能會嘗試聯絡政府組織以查詢退款或繳納稅款,但無法做到,因為有人透過這個特定的漏洞入侵了他們。
現在很難確切地說這將如何發展,因為我們仍處於真正瞭解的早期階段。這有可能產生非常長的尾部效應,並在很長一段時間內成為一個問題。這不是“這個週末修補一切,然後我們都可以回去過聖誕假期”。
需要做些什麼來解決這個問題?
我喜歡用建築釘子的比喻,[它] 可以用在房屋、建築物、橋樑中。如果有人說,“我們剛剛意識到所有這些建築釘子都有一個漏洞,它們可能隨時失效。”有很多不同型別的建築釘子,但您必須找出您在哪裡使用了這種釘子。現在我們要求建築公司在釘子失效之前找到並更換它們。
大型公司和基礎設施現在必須開始尋找 [Log4J 在其系統中的] 事實。很多時候人們不會坐下來制定詳細的藍圖。準確地清點這種日誌記錄功能已部署在您的程式碼中的位置,就像在許多不同的乾草堆中尋找許多針頭一樣。通常,當我們遇到這樣的安全漏洞時,安全官可以負責並說,“我將擁有這個,我將擁有修復工作。”這有所不同,因為它涉及供應鏈:很多人使用開源軟體,他們使用第三方供應商,他們使用海外開發和 Widget,所有 [這些軟體來源] 都可能包含 Log4J。僅僅一個物聯網裝置的供應鏈——想想 Alexa [或] 谷歌 Home——就可能有多達 10 到 50 到 60 家不同的公司製造不同的部件:韌體、作業系統和應用程式的開發。僅僅嘗試為一個產品修復它可能就是一項極其繁重的任務。
我們可以從這個漏洞中吸取什麼教訓?
如果您想到 SolarWinds,這是去年這個時候發生的另一個供應鏈問題,很多人說,“哦,我們不使用該產品,所以,我們可能沒事。”您瞭解到的是,如果您身處擁有 SolarWinds 的生態系統中,您就必須採取補救措施。您需要從您的內部、海外、近岸、外包開發人員那裡瞭解他們是如何進行清點的。我們痛苦地瞭解到,軟體的編譯和軟體構建的質量保證非常複雜且難以做到,而且並非總是遵循到細枝末節。
一個重要的教訓是,我們在供應鏈的盔甲中存在薄弱環節,而且我們將繼續存在這些薄弱環節。這不會是這些問題的最後一個。當這些問題出現時,您如何確保您有一個劇本,可以召集合適的參與者進行評估:“這真的很糟糕,還是這對我們的組織來說是無關緊要的事情,我們會沒事的?”人們需要考慮的第二件事是,您內建了哪些其他安全措施?例如,如果攻擊者在您進行修補之前就利用了該漏洞——並且他們正在控制您的日誌記錄和日誌中的資訊——您能否檢測到他們隱藏的流量?這些都是吸取的教訓,而且都是慘痛的教訓。我的意思是,如果它們很容易做到,企業就會去做;政府也會去做。在紙面上聽起來很棒——但在實踐中,實施起來真的很難。