日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在Apache軟件基金會(huì)去年11月披露Log4j漏洞一年后，雖然針對(duì)該漏洞本身的攻擊數(shù)量低于最初的預(yù)期，但仍然對(duì)企業(yè)組織構(gòu)成重大威脅。

創(chuàng)新互聯(lián)是一家專業(yè)提供涇川企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、網(wǎng)站建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、小程序制作等業(yè)務(wù)。10年已為涇川眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)的建站公司優(yōu)惠進(jìn)行中。

安全研究人員說，仍然有很多系統(tǒng)沒有針對(duì)該漏洞打補(bǔ)丁，企業(yè)在發(fā)現(xiàn)、修復(fù)和防止該漏洞上仍面臨挑戰(zhàn)。

"Contrast Security的首席安全信息官 David Lindner說："Log4j被用于約64%的Java應(yīng)用程序，而其中只有50%的應(yīng)用程序已經(jīng)更新到完全固定的版本，這意味著攻擊者將繼續(xù)針對(duì)它。至少現(xiàn)在，攻擊者繼續(xù)在尋找通過Log4j進(jìn)行攻擊的途徑。

攻擊比預(yù)期的要少

Log4j的缺陷（CVE-2021-44228），通常被稱為Log4Shell，存在于Log4j用于數(shù)據(jù)存儲(chǔ)和檢索的Java命名和目錄接口（JNDI）。它可以幫助遠(yuǎn)程攻擊者來控制易受攻擊的系統(tǒng)。鑒于Log4J幾乎被用于每一個(gè)Java應(yīng)用環(huán)境，安全研究人員認(rèn)為它是近年來最具威脅的漏洞之一，因?yàn)樗芷毡?，而且攻擊者可以相?duì)容易地利用它。

在過去的一年里，已經(jīng)有許多關(guān)于攻擊者利用該漏洞作為進(jìn)入目標(biāo)網(wǎng)絡(luò)的報(bào)道。其中許多攻擊涉及來自朝鮮、伊朗和其他國家的由國家支持的APT組織。例如，11月美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說，一個(gè)由伊朗政府支持的APT組織利用未打補(bǔ)丁的VMware Horizon服務(wù)器中的Log4j漏洞，在一個(gè)聯(lián)邦網(wǎng)絡(luò)上部署了加密軟件和憑證采集器。微軟等其他公司也報(bào)告了類似的行為。

盡管還有其他一些關(guān)于有經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪團(tuán)伙利用Log4j的報(bào)道， 但公開報(bào)道的涉及Log4的破壞事件的實(shí)際數(shù)量仍然比較低，特別是與涉及Exchange Server漏洞（如ProxyLogon和ProxyShell）的事件相比。Tenable公司的首席安全官Bob Huber說，相比于該漏洞的簡單性和普遍的攻擊路徑，報(bào)告的攻擊規(guī)模和范圍出乎意料地低于預(yù)期。Huber說：只是在近期，我們才看到一些有針對(duì)性的重要報(bào)道，如最近CISA的民族性國家活動(dòng)。

威脅未減弱

然而，安全研究人員指出，這并不意味著Log4j的威脅在過去一年中已經(jīng)減弱。

首先，很大一部分企業(yè)仍然像一年前一樣容易受到威脅。根據(jù)Tenable最近進(jìn)行的一項(xiàng)與該漏洞有關(guān)的遙測(cè)分析顯示，截至到10月1日，72%的企業(yè)容易受到Log4j的攻擊，全球僅有28%的組織已經(jīng)對(duì)該漏洞進(jìn)行了全面修復(fù)。但當(dāng)這些企業(yè)在向其環(huán)境中添加新的資產(chǎn)時(shí)，經(jīng)常又一次地遭到Log4j的漏洞攻擊。

Huber說：假設(shè)企業(yè)在軟件的構(gòu)建管道中建立修復(fù)，那么再一次地遭到Log4j漏洞攻擊的概率會(huì)減少。是否會(huì)再一次地遭到Log4j漏洞攻擊很大程度上取決于一個(gè)企業(yè)的軟件發(fā)布周期。

此外，盡管網(wǎng)絡(luò)安全界對(duì)這個(gè)漏洞的認(rèn)識(shí)幾乎無處不在，但由于應(yīng)用程序如何使用Log4j，在許多企業(yè)中仍然很難找到有漏洞的版本。Sonatype公司首席技術(shù)官Brian Fox說，一些應(yīng)用程序可能將開源日志組件作為其應(yīng)用程序的直接依賴項(xiàng)，而在其他情況下，一些應(yīng)用程序可能將Log4j作為一個(gè)交叉依賴項(xiàng)或另一個(gè)依賴項(xiàng)的依賴。

Fox說：由于過渡性依賴是從你的直接依賴項(xiàng)的選擇中引入的，它們可能并不總是被你的開發(fā)人員所了解或直接看到。

Fox說，當(dāng)Apache基金會(huì)首次披露Log4Shell時(shí)，公司不得不發(fā)出成千上萬的內(nèi)部電子郵件，在電子表格中收集結(jié)果，并遞歸掃描文件系統(tǒng)。這不僅僅花費(fèi)了公司寶貴的時(shí)間和資源來修補(bǔ)該組件，而且延長了該漏洞的惡意影響程度。

來自Sonatype維護(hù)的Maven Central Java倉庫的數(shù)據(jù)顯示，目前35% 的 Log4 下載仍來自該軟件的易受攻擊版本。許多公司甚至在開始響應(yīng)之前仍在嘗試建立他們的軟件清單，并且沒有意識(shí)到傳遞依賴性的影響。

根據(jù)上述所有的問題，美國國土安全部審查委員會(huì)今年早些時(shí)候得出結(jié)論：Log4是一個(gè)地方性的安全風(fēng)險(xiǎn)，企業(yè)將需要與之抗衡多年。委員會(huì)成員評(píng)估說，Log4j的脆弱實(shí)例將在未來許多年里留在系統(tǒng)中，并使企業(yè)面臨攻擊的風(fēng)險(xiǎn)。

正面的影響

跟蹤該漏洞的安全研究人員說，Log4j的積極成果是它引起了人們對(duì)軟件構(gòu)成分析和軟件材料清單（SBOM）等實(shí)踐的高度關(guān)注。企業(yè)在確定他們是否有漏洞或在他們的環(huán)境中可能存在的漏洞時(shí)所面臨的挑戰(zhàn)，促進(jìn)了人們更好地理解對(duì)其代碼庫中所有組件的可見性需要，特別是那些來自開源和第三方的組件。

ReversingLabs的CISO Matthew Rose說：對(duì)Log4J問題的調(diào)查再次證實(shí)，除了跟上DevOps速度的SBOMs之外，還需要更好的軟件供應(yīng)鏈證明。應(yīng)用安全和架構(gòu)團(tuán)隊(duì)已經(jīng)意識(shí)到，僅僅在源代碼、API或開放源碼包等部分尋找風(fēng)險(xiǎn)是不夠的。他們現(xiàn)在意識(shí)到，全面了解應(yīng)用程序的架構(gòu)與尋找SQLI或跨站腳本錯(cuò)誤（XSS）一樣重要。

參考來源：https://www.darkreading.com/application-security/one-year-later-log4shell-exposed-attack

文章題目：在披露Log4Shell一年后，大多數(shù)公司仍暴露在攻擊之下
文章URL：http://m.5511xx.com/article/cojoohe.html