就在我們了解到國家支持的黑客已經開始研究上周震驚網絡安全界的Log4j漏洞問題時，其他研究人員發(fā)出了一個令人不安的發(fā)展信號。Log4j黑客，也被稱為Log4Shell已經有一個補丁，已經可以部署到企業(yè)。但事實證明，這個補丁玩起了“套娃”：它解決原有問題的同時又產生新的安全問題，且可以被外部利用。因此，希望保護他們的系統(tǒng)免受Log4j攻擊的公司必須部署一個新的補丁，修復之前的補丁。

正如我們在以前的報道中所解釋的，Log4j黑客是非常危險的。這是因為它幾乎影響到所有提供互聯(lián)網服務的公司。這個安全漏洞存在于一個被廣泛使用的Java日志工具中。自上周四披露以來，網絡安全研究人員已經目睹了數(shù)十萬次利用該漏洞的嘗試。這包括來自國家支持的黑客的攻擊，與大多數(shù)黑客相比，他們擁有大量可支配的資源。只要互聯(lián)網公司不對他們的系統(tǒng)應用現(xiàn)有的Log4j補丁，他們就會面臨風險。

黑客可以利用Log4j黑客技術，在沒有密碼的情況下進入計算機服務器。從那里，他們可以安裝其他惡意程序。這些工具將讓他們竊取信息，進行勒索軟件攻擊，或挖掘加密貨幣。根據(jù)最初描述安全問題的報告，有人利用了《Minecraft》里面的漏洞。微軟很快給Minecraft打了補丁，并不斷發(fā)布關于Log4j漏洞在外部世界的安全更新。

普通的終端用戶無法自己修復Log4j黑客的問題。這并不像將操作系統(tǒng)或應用程序更新到最新、最安全的版本那樣容易。是互聯(lián)網公司必須部署最新的Log4j補丁來保護服務器。

但安全研究人員已經發(fā)現(xiàn)，Apache基金會上周發(fā)布的Log4j 2.15.0補丁至少有兩個需要修復的漏洞。報告說，已經安裝了Log4j 2.15.0的企業(yè)應該盡快安裝2.16.0版本。

根據(jù)一些研究人員的說法，Log4j 2.15.0的補丁"在某些非默認配置中"并不完整。反過來，這使得攻擊者可以對打了補丁的系統(tǒng)發(fā)動攻擊。來自Praetorian的安全研究人員也詳細介紹了新的安全問題，他們解釋說，黑客仍然可以從已經部署了Log4j 2.15.0補丁的服務器上竊取數(shù)據(jù)。

"在我們的研究中，我們已經證明2.15.0在某些情況下仍然可以實現(xiàn)敏感數(shù)據(jù)的滲出，"研究人員說。"我們已經把這個問題的技術細節(jié)傳遞給了Apache基金會，但在這期間，我們強烈建議客戶盡快升級到2.16.0。"

Praetorian發(fā)布了對Log4j 2.15.0補丁的概念證明攻擊，但沒有披露使其成為可能的技術細節(jié)。

了解更多：https://github.com/cckuailong/Log4j_CVE-2021-45046