数以百万计的 Java 应用程序仍然容易受到 Log4Shell 的攻击

研究人员发现,在发现关键漏洞四个月后,攻击者拥有巨大的攻击面,他们可以利用该漏洞并接管系统。

研究人员发现,在发现零日Log4Shell严重缺陷四个月后,数以百万计的 Java 应用程序仍然容易受到攻击。

安全公司 Rezilion 的研究人员分析了流行的开源 Apache Log4j 框架中的漏洞当前潜在的攻击面,该漏洞在 12 月被发现时威胁到破坏互联网。无处不在的 Java 日志库 Apache Log4j 中的漏洞很容易被利用,并且可以允许未经身份验证的远程代码执行 (RCE) 和完整的服务器接管。

漏洞研究负责人 Yotam Perkal 在周二发布的一份报告中写道, Rezilion 预计,由于“大量媒体报道”该漏洞不出所料,大多数应用程序将已经被修补。然而,他们的分析发现了一个非常不同的故事,他说。

“我们了解到情况远非理想,许多易受 Log4Shell 攻击的应用程序仍然存在于野外,”Perkal 在报告中写道。

研究人员在 Shodan 搜索引擎上进行了搜索,以查看有多少易受 Log4Shell 攻击的应用程序暴露在互联网上。他们确定了 90,000 个潜在的易受攻击的面向互联网的应用程序,他们认为“就实际易受攻击的攻击面而言,这只是冰山一角,”Perkal 写道。

研究人员将应用程序分为三类;前两个是在其最新版本中仍包含过时版本的 Log4j 的容器;和容器,虽然它们的最新版本是最新的,但仍显示使用以前版本的证据。

研究人员指出,第三类是世界上最受欢迎的互联网游戏 Minecraft 的面向公众的服务器,这突出了过时专有软件的风险。事实上,它是 Minecraft 网站,漏洞首先出现并且显然仍然存在。

研究人员引用其他来源进一步证明 Log4Shell 攻击面仍然很大。其中之一是 Google 服务 Open Source Insights,它扫描数百万个开源包。该服务发现,在受该漏洞影响的总共 17,840 个软件包中,只有 7,140 个被修补,使得近 60% 的软件包仍然易受攻击。

此外,研究人员指出,许多应用程序仍在使用 Log4J 版本 1.x,并且可能没有打补丁,因为原始的 Log4Shell 漏洞(跟踪为CVE-201-44228)不适用于该版本。

然而,这是一种误解,因为该版本“自 2015 年 8 月以来一直处于生命周期结束状态(这意味着它没有获得任何安全更新),并且包含许多其他漏洞,包括 RCE 漏洞,Perkal 指出。

“这绝对应该让仍在使用它的组织感到担忧,”他写道。

数以百万计的 Java 应用程序仍然容易受到 Log4Shell 的攻击

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注