Log4j零日安全漏洞是一場(chǎng)安全夢(mèng)魘

Log4j 零日安全漏洞(也稱為 Log4Shell)，是互聯(lián)網(wǎng)上破壞力最驚人的漏洞之一。每家互聯(lián)網(wǎng)公司都在爭(zhēng)先恐后地修補(bǔ)這個(gè)問(wèn)題，防止黑客利用它。但是，公司需要時(shí)間來(lái)修復(fù)這個(gè)問(wèn)題。

你無(wú)法妥善保護(hù)免受 Log4j 攻擊

安全研究人員看到數(shù)以千計(jì)的人試圖利用Log4j黑客技術(shù)進(jìn)入計(jì)算機(jī)系統(tǒng)。而關(guān)于這個(gè)黑客的最糟糕的事情是，即使黑客沒(méi)有明確針對(duì)你，你也可能受到影響。而且，最糟糕的是，你沒(méi)有辦法保護(hù)自己。

PegASUS 零日漏洞被發(fā)現(xiàn)之后，蘋(píng)果緊急發(fā)布了補(bǔ)丁進(jìn)行修復(fù)，用戶只需要安裝 iOS 和 iPadOS 更新就可以了。幾年前，當(dāng) Spectre 芯片漏洞出現(xiàn)的時(shí)候，由芯片制造商以及在其上運(yùn)行操作系統(tǒng)的公司來(lái)發(fā)布修復(fù)程序。但在 Log4j 黑客事件中，沒(méi)有任何一個(gè) iPhone、Android、Windows 或 Mac 的修復(fù)程序可以修補(bǔ)該漏洞并減輕你的擔(dān)憂。

正如我們已經(jīng)看到的，黑客可以影響像微軟的 Minecraft 游戲這樣的程序。黑客通過(guò)應(yīng)用內(nèi)的聊天系統(tǒng)發(fā)送幾行文字來(lái)接管電腦。而微軟修補(bǔ)了這個(gè)漏洞。但任何提供互聯(lián)網(wǎng)服務(wù)和互聯(lián)網(wǎng)連接產(chǎn)品的公司都面臨風(fēng)險(xiǎn)。每家公司都必須更新其服務(wù)器，以便攻擊者無(wú)法采用 Log4j 黑客。該漏洞問(wèn)題允許黑客繞過(guò)限制，不需要密碼就能進(jìn)入計(jì)算機(jī)系統(tǒng)。

從那里，他們可以遠(yuǎn)程運(yùn)行代碼，使他們能夠監(jiān)視這些公司，竊取信息和或金錢。這些公司的客戶可能會(huì)受到傷害，這始終是這種黑客攻擊的風(fēng)險(xiǎn)。但最終用戶不能自己修補(bǔ) Log4j 漏洞。

對(duì)于Log4j黑客來(lái)說(shuō)，這不是點(diǎn)擊錯(cuò)誤的鏈接并在你的電腦上下載惡意程序這么簡(jiǎn)單。這一切都不在你的掌握之中。盡管你可能很精通互聯(lián)網(wǎng)，但沒(méi)有辦法防止黑客攻擊你的某個(gè)互聯(lián)網(wǎng)公司的客戶。

根據(jù)Check Point研究人員對(duì)Log4j黑客的觀察，攻擊者每分鐘都有超過(guò)一百次的嘗試來(lái)利用Java日志工具的漏洞。在Log4Shell被披露后的幾天里，Sophos檢測(cè)到數(shù)十萬(wàn)次嘗試。

你可以做什么來(lái)解決這個(gè)問(wèn)題

微軟已經(jīng)觀察到涉及在服務(wù)器上安裝加密貨幣挖掘惡意軟件的攻擊。另外，一些黑客試圖在脆弱的系統(tǒng)上安裝 Cobalt Strike，這可能導(dǎo)致黑客竊取用戶名和密碼。該公司還詳細(xì)介紹了可以防止 Log4j 黑客攻擊的 Microsoft 365 Defender 功能。但這對(duì)大多數(shù)人來(lái)說(shuō)可能還不夠好，畢竟這只涵蓋了 Windows 和 Linux。而其 IT 團(tuán)隊(duì)?wèi)?yīng)該在服務(wù)器和計(jì)算機(jī)系統(tǒng)中采用修復(fù)措施。

終端用戶能做的是注意他們的互聯(lián)網(wǎng)屬性。你應(yīng)該繼續(xù)為你的服務(wù)使用強(qiáng)大、獨(dú)特的密碼。為敏感的應(yīng)用程序和管理訪問(wèn)在線金融交易的電子郵件添加雙因素認(rèn)證。留意這些敏感賬戶的可疑活動(dòng)，無(wú)論是電子郵件還是家庭銀行應(yīng)用程序。

你也可以與你的組織的 IT 部門檢查，確保他們知道 Log4j 漏洞是什么，并且需要修復(fù)。同樣地，你可以聯(lián)系其他科技公司，看看他們正在做什么來(lái)保護(hù)你。另一方面，向客戶代表逼問(wèn)他們可能沒(méi)有的答案也沒(méi)有用。

當(dāng)你在做這件事的時(shí)候，把你設(shè)備上的所有軟件更新到現(xiàn)有的最新版本。這包括操作系統(tǒng)和應(yīng)用程序。當(dāng)這些公司部署Log4j的修復(fù)程序時(shí)，你要確保你盡可能快地得到它們。

安全研究人員幾天前說(shuō)，需要時(shí)間來(lái)觀察Log4Shell攻擊的危害。這仍然是事實(shí)。而且，在我們等待的過(guò)程中，我們可能會(huì)得到更多關(guān)于如何保護(hù)自己免受Log4j黑客攻擊的信息。

網(wǎng)頁(yè)標(biāo)題：Log4j零日安全漏洞是一場(chǎng)安全夢(mèng)魘
鏈接URL：http://www.muchs.cn/news30/203230.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、做網(wǎng)站、域名注冊(cè)、手機(jī)網(wǎng)站建設(shè)、Google、標(biāo)簽優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)