跳到主要內容區塊
內頁主視覺
:::
臉書分享 line分享 推特分享 微博分享 複製網址

資安爆哩災-Log4j堪比核爆等級的資安災難

        在去年12月引起資訊人員高度關注的Log4j核彈級資安漏洞,近期攻擊者正在持續利用該項漏洞展開各項攻擊,但Log4j到底是什麼?為什麼會造成危害?和NPO會有關嗎?相信大家現在是不是滿頭霧水,所以在接下來我們將針對Log4j做一個初步介紹,以及和大家分享檢測Log4j安全性的小工具。

Log4j是什麼? 為什麼會這麼嚴重?

        俗話說凡走過必留下痕跡,原先是在指犯罪人在犯案現場一定都會留下一些犯罪跡象;而情境轉換到系統上的的話,Log4j就是系統在記錄這些痕跡的工具,當今天系統發現被異常登入或是資料不見時,我們就可以透過Log4j來找出系是誰將資料做清除的 !

        Log4j這項工具是利用程式語言Java所開發出的免費套件工具,因為許多程式開發人員都會使用這項工具來記錄系統活動歷程,因此這件事件爆發後可以說是震撼資訊產業,也被CVSS漏洞評分系統評分出10分最高漏洞威脅程度。

駭客如何利用Log4j漏洞?

        上面有提到Log4j主要用途就是用來記錄系統歷程的工具,但這次漏洞爆出發現有一項隱藏功能,就是當今天你對這項工具要求特殊指令時,他就會去執行該指令。像是如過你對Log4j下關機指令系統就會整個被關掉,而駭客可以利用這一項功能對系統下惡意指令來入侵系統竊取資料、植入惡意軟體、勒索機構甚至是接管整個系統,這其實是一件非常可怕的一件事,相較一般駭客攻擊可能還需要先釣魚或植入惡意程式才可以,但駭客現在只需要直接利用系統中Log4j下指令就可以輕鬆把資料都拿走。

面對Log4j漏洞我們該如何自保?

        趨勢科技有提供免費的Log4j漏洞掃描,大家可以將機構將使用常使用的網址貼上掃描看系統是不是有Log4j漏洞,如果有掃瞄出漏洞記得聯繫系統商詢問目前Log4j版本是不是有更新至最新版本,並持續追蹤系統是不是存在風險唷!

Log4j對網軟系統會有什麼影響?

        Log4j對於網軟所開發的官網、捐款、個案、行政、會員以及志工管理系統不會造成影響,因為我們在程式開發上是採用.net做開發,而Log4j是採另外一種java程式語言做開發,所以大家可以不用擔心!

        但是在此也是要呼籲非營利夥伴們,如果機構有使用其他系統或Open Source開放式資源平台都別忘了做掃描檢測,確定系統開發中並沒有Log4j這項工具唷!

回到上方