Photo by Markus Spiske on Unsplash

網絡程式語言 Java 其中一個常用來紀錄程式資料及查找錯誤的工具 Log4j 日誌框架上星期爆漏洞,全球黑客全速借此漏洞四出攻擊。《金融時報》報道,自上周五(10 日)以來,已有 120 萬次相關攻擊,黑客大軍當中包括中國支持的黑客組織。

報道引述網絡安全軟件技術公司 Check Point 指出,自上周五起,針對 Log4j 漏洞的攻擊次數顯著上升,個別更錄得每分鐘超過 100 次攻擊。大多數情況下,黑客取得被攻擊電腦的控制後會利用電腦挖掘加密貨幣,又或者成為殭屍網絡的一部分,用以發送垃圾電郵或其他非法用途。

Check Point 指出,近一半的攻擊是由已知的黑客組織發起,當中包括利用惡意軟件 Tsunami 及 Mirai 的黑客,這些軟件可以令電腦成為殭屍網絡,或被利用發起遠程控制黑客攻擊。另外又包括使用 XMRig 的團體,XMRig 是用來挖加密幣「門羅幣」Monero 的軟件。

網絡公司 Mandiant 首席科技長 Charles Carmakal 表示,發動攻擊的包括「中國政府的黑客」,但拒絕提供進一步資料。網絡安全公司 SentinelOne 亦表示,觀察到中國黑客利用 Log4j 的漏洞發動攻擊。

Log4j 可能是電腦史上最大漏洞

網絡安全公司 Tenable 行政總裁 Amit Yoran 形容,Log4j 的漏洞不僅是過去 10 年規模最大、最嚴重,也可能是電腦史上最大漏洞。

美國網絡安全和基礎設施安全局 (CISA) 及英國國家網絡安全中心 (National Cyber Security Centre) 已向機構、企業發出警告,敦促盡快修正 Log4j。中國國家互聯網應急中心發公告,建議各廠商積極自查及匯報發現的軟件產品或服務受影響情況。

大陸媒體報道,中國網絡安全公司 360 亦檢測到多宗 Log4j 相關的攻擊,尤其是微軟的遊戲 Minecraft,最高峰時有超過 1 萬玩家受攻擊,360 已發出預警。微軟則表示,已發布 Minecraft 更新,稱已完成修復。另外,亞馬遜、蘋果、IBM、思科等巨企都急忙推出修復程式,到目前為止未有公布任何嚴重問題。

Log4j 是專門支援開源(open source)軟件專案的非營利性組織 Apache 基金會旗下一個開源伺服器軟件,由志願者基於 Java 而開發,被廣泛應用於各種應用程式及網路服務,下載次數達數百萬計。Log4j 的漏洞被稱為 Log4Shell,黑客利用遠端執行程式碼攻入後,即可植入惡意軟件,基本上是可以為所欲為,包括取得敏感數據、上載檔案、刪除數據。

根據 Apache 基金會,發現今次世紀大漏洞的阿里巴巴旗下阿里雲的安全團隊,早於 11 月 24 日,已向 Apache 報告 Log4j2 遠程代碼執行漏洞。

網絡安全公司 Cloudflare 行政總裁 Matthew Prince 表示,Log4j 的漏洞自 2013 年起已存在,到近日才被發現,但其實在 12 月 1 日起,已有不少黑客利用漏洞進行攻擊。

去年爆出的 SolarWinds 軟件漏洞後,多家國際媒體亦報道有疑似中國黑客借機入侵美國政府電腦