開源軟體Log4j釀電腦史上最大漏洞 蘋果、微軟皆面臨威脅

【民眾網編輯劉家瑜/綜合報導】

上週末,全球各地的公司和政府機關都在「救火」,修補一個先前未知、名為Log4Shell的漏洞,這可能讓駭客透過網路侵入數百萬款程式,蘋果iCloud、微軟旗下熱門遊戲Minecraft等都可能淪為駭客攻擊目標,根據《衛報》報導,資安公司Tenable執行長阿米特(Amit Yoran)表示,這不僅是過去10年來規模最大、最嚴重的漏洞,還可能是電腦史上最大的漏洞。

Log4j是Apache軟體基金會的一個開源伺服器軟體,基於Java開發而成,Java開發人員多用於查找錯誤,被廣泛應用於各種應用程式和網路服務,是一種程式內的紀錄工具,保存執行活動的過程,方便在出現問題時進行檢查,幾乎每個網絡安全系統都會利用某種日誌框架進行紀錄,使得Log4j影響廣泛。Log4j的漏洞被命名為Log4Shell,駭客能利用遠端執行程式碼攻擊脆弱的伺服器,進一步讓駭客植入足以完全危害設備的惡意軟體。

這次的漏洞首先由阿里巴巴旗下雲端資安團隊所發現,並在11月24日向Apache軟體基金會回報,雖然該基金會已經推出修復程式,但還不能放心,使用Log4j日誌框架的服務眾多,必須由所有者自行更新才能修補漏洞。

微軟旗下熱門遊戲Minecraft是Log4j漏洞的案例之一,他們發現駭客可以通過發布聊天訊息來觸發漏洞,駭客不必透過密碼,就能入侵網路伺服器。駭客可以任意在伺服器端植入惡意軟體、竊取珍貴數據,或者竄改內部的內容等,且門檻極低。目前微軟已經為Minecraft用戶發布更新,聲稱服務完成修復,思科也在官網發布相關文章,教導開發人員如何在系統中尋找該漏洞。Steam母公司Valve發言人道格.蘭巴爾迪(Doug Lombardi)則回應,工程師已立即檢查系統,最終認為Steam沒有被攻擊的風險。

Google Go開發者Filippo Valsorda撰文指出了一個關鍵問題 ——「開源軟體支撐起互聯網,延伸來說,它也撐起了經濟。 然而,開源軟體維護人員的角色並沒有從一種愛好,變成為一種正職。」令人吃驚的是,修補了log4j漏洞的維護人員Ralph Goers獲得的贊助只有三人。Goers也寫明自己還有正職,只在業餘時間維護專案,他也很想全職去做開源軟體專案。  
 
Valsorda認為,這場危機正好讓那些建立於開源軟體基礎上的大公司們看到開源軟體運維者的重要性,並開始協助其轉變成正職。不過,純贊助的方式長期來說不穩定,Valsorda覺得更好的方式,應該是讓開源軟體運維者定期給大公司們開發票,而大公司也在內部建立審核機制,向開源軟體開發者支付費用,並提出一些品質上的要求。因為有大量Java軟體連線到網路和後台系統。回顧過去10年,只有兩個漏洞的嚴重程度比得上這次。

Goers的Github的贊助人數已從之前的三人,增加到12月13日的69人,但直到所有漏洞更新之前,Log4Shell依舊是一大威脅。

 

延伸閱讀:

隔空割韭菜 元大證複委託系統遭駭 多人遭扣款買香港仙股

宏碁一週內兩度遭駭客攻擊 駭客組織稱「宏碁資安明顯落後」