駭客利用了此一新型漏洞 “Log4Shell” 在易受攻擊的伺服器上執行惡意程式,根據外媒報導,這可能會影響 iCloud 等服務。
如一間安全公司 LunaSec 所述,第一次發現該漏洞是在 log4j 中發現,log4j 是一個開源的資料庫,裡面記載了許多應用程式及網站的 log(例如使用者傳送的錯誤報告或系統的錯誤警告訊息等),保留這些數據是為了方便日後作審查以利修復錯誤,但也正因為是開源的資料庫,裡面包含了千千萬萬個應用程式,有大量的開發人員使用裡面的資訊,而駭客正是看準了此項特徵,會在日誌中保存特定的字元或字串,進而觸發該漏洞。
最近在 Minecraft 的伺服器上發現了 Log4Shell 的漏洞,駭客利用了聊天室的訊息,來觸發該漏洞。LunaSec 也聲稱,Apple 的 iCloud 也會有受到新漏洞攻擊的風險,駭客甚至可以透過 QR Code 來觸發漏洞,何況現在人人都需要掃描 QR Code 來登記實名制,這使得 Log4Shell 這個漏洞更加危險。
目前為止,Apple 以及其他公司並沒有針對這個消息予以回應,但可以肯定的是,他們都正在努力修復所有不合規的行為。
原文連結:https://9to5mac.com/2021/12/10/icloud-and-other-services-vulnerable-to-new-log4shell-exploit-impacting-logging-systems/