就在我们了解到国家支持的黑客已经开始研究上周震惊 *** 安全界的Log4j漏洞问题时,其他研究人员发出了一个令人不安的发展信号。Log4j黑客,也被称为Log4Shell已经有一个补丁,已经可以部署到企业。但事实证明,这个补丁玩起了“套娃”:它解决原有问题的同时又产生新的安全问题,且可以被外部利用。因此,希望保护他们的系统免受Log4j攻击的公司必须部署一个新的补丁,修复之前的补丁。
正如我们在以前的报道中所解释的,Log4j黑客是非常危险的。这是因为它几乎影响到所有提供互联网服务的公司。这个安全漏洞存在于一个被广泛使用的Java日志工具中。自上周四披露以来, *** 安全研究人员已经目睹了数十万次利用该漏洞的尝试。这包括来自国家支持的黑客的攻击,与大多数黑客相比,他们拥有大量可支配的资源。只要互联网公司不对他们的系统应用现有的Log4j补丁,他们就会面临风险。
黑客可以利用Log4j黑客技术,在没有密码的情况下进入计算机服务器。从那里,他们可以安装其他恶意程序。这些工具将让他们窃取信息,进行勒索软件攻击,或挖掘加密货币。根据最初描述安全问题的报告,有人利用了《Minecraft》里面的漏洞。微软很快给Minecraft打了补丁,并不断发布关于Log4j漏洞在外部世界的安全更新。
普通的终端用户无法自己修复Log4j黑客的问题。这并不像将操作系统或应用程序更新到最新、最安全的版本那样容易。是互联网公司必须部署最新的Log4j补丁来保护服务器。
但安全研究人员已经发现,Apache基金会上周发布的Log4j 2.15.0补丁至少有两个需要修复的漏洞。报告说,已经安装了Log4j 2.15.0的企业应该尽快安装2.16.0版本。
根据一些研究人员的说法,Log4j 2.15.0的补丁”在某些非默认配置中”并不完整。反过来,这使得攻击者可以对打了补丁的系统发动攻击。来自Praetorian的安全研究人员也详细介绍了新的安全问题,他们解释说,黑客仍然可以从已经部署了Log4j 2.15.0补丁的服务器上窃取数据。
“在我们的研究中,我们已经证明2.15.0在某些情况下仍然可以实现敏感数据的渗出,”研究人员说。”我们已经把这个问题的技术细节传递给了Apache基金会,但在这期间,我们强烈建议客户尽快升级到2.16.0。”
Praetorian发布了对Log4j 2.15.0补丁的概念证明攻击,但没有披露使其成为可能的技术细节。
了解更多:
https://github.com/cckuailong/Log4j_CVE-2021-45046
(消息及封面来源:cnBeta)
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。 援引科...
在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。 Bradbur...
针对黑客组织 Lapsus$ 的专项打击活动仍在继续,就在一周前逮捕 7 名青少年之后,英国警方指控 2 名青少年犯有多项网络罪行。目前这 2 人仍处于拘留中,并将于本周五晚些时候在海布里角地方法院出庭。 在周五的一份声明中,伦敦市警察局探长迈克尔·奥沙利文表示这两名年龄分别为 16 岁和 17...
一位研究人员将苹果公司的一个AirTags发送到德国一个神秘的”联邦机构”,以确定其真正的办公室,并帮助证明它确实是一个情报机构的一部分。苹果公司的AirTags已经在涉及追踪个人的案件中被用得有声有色,但现在一位德国研究人员在揭露政府机密时使用了一个。 活动家Lilith Wittmann声称,...
Hackernews 编译,转载请注明出处: ASUSTOR 网络附属存储(NAS)设备已经成为 Deadbolt 勒索软件的最新受害者,不到一个月前,类似的攻击受害者是QNAP 网络附加存储设备。 为了应对感染,该公司发布了固件更新(ADM 4.0.4.RQO2)来“解决相关...