Minecraft 中演示的关键 Apache Log4j 漏洞利用

上周末成为服务器管理员的日子不好过。 Apache Log4j 中出现了一个严重漏洞。 大问题？ 攻击者有机会利用各种应用程序（从 Twitter 到 iCloud）用来执行攻击者选择的任何代码的开源 Java 包。

这和听起来一样可怕。

Apache Log4j 漏洞利用对你我意味着什么

我与 Huntress Labs 的网络安全研究员 John Hammond 就该漏洞利用以及随后为减轻损害而采取的行动进行了交谈。 Hammond 在 Minecraft 服务器上为他的 YouTube 频道重新创建了该漏洞利用，结果是爆炸性的。

分享

问：这个漏洞是什么？ 你能用外行的话解释发生了什么吗？

答：此漏洞允许不良行为者通过单行文本获得对计算机的控制权。 用外行的话来说，日志文件正在检索一个新条目，但碰巧正在读取并实际执行日志文件中的数据。 通过专门设计的输入，受害计算机将接触并连接到单独的恶意设备，以下载并执行对手准备的任何恶意操作。

问：在 Minecraft 中复制这个漏洞有多难？

答：这个漏洞和利用很容易设置，这使得它对不良行为者来说是一个非常有吸引力的选择。 我已经展示了 演示如何在 Minecraft 中重新创建的视频演练，而“攻击者的视角”可能需要 10 分钟才能建立，如果他们知道自己在做什么以及需要什么。

问：谁受此影响？

答：最终，每个人​​都会以某种方式受到这种影响。 几乎可以肯定，每个人都与某些隐藏了此漏洞的软件或技术进行交互的可能性非常高。 

我们已经在亚马逊、特斯拉、Steam，甚至 Twitter 和 LinkedIn 等公司中看到了漏洞的证据。 不幸的是，我们将在很长一段时间内看到此漏洞的影响，而一些旧版软件可能无法在这些天维护或推送更新。

问：受影响的各方需要做些什么来保证他们的系统安全？

答：老实说，个人应该了解他们使用的软件和应用程序，甚至可以简单地在 Google 上搜索“[that-software-name] log4j”，并检查该供应商或提供商是否分享了有关此新的通知的任何建议威胁。 

这个漏洞正在撼动整个互联网和安全格局。 人们应尽快从其提供商处下载最新的安全更新，并对仍在等待更新的应用程序保持警惕。 当然，安全性仍然归结为您不能忘记的最基本的基础知识：运行可靠的防病毒软件，使用长而复杂的密码（强烈建议使用数字密码管理器！），并特别注意在您的计算机上。

比如你在读什么？ 您会喜欢它每周发送到您的收件箱。 注册 SecurityWatch 时事通讯。

警察 + 数据经纪人 = 法律漏洞

老电影中的犯罪分子总是对法律的正确和错误方面有所了解。 如果警察威胁要破门而入，他们只会傻笑说：“哦，是吗？ 带着搜查令回来。”

在今天的现实中，如果警察可以从数据经纪人那里购买信息，他们就不需要费心为您的数据获得授权。 现在，我们不是将违法行为浪漫化的人，但我们也不喜欢可能的权力滥用。

正如 PCMag 的 Rob Pegoraro 所写，数据经纪人通过允许出售收集的有关私人公民的信息，为执法和情报机构提供绕过第四修正案的方法。 在一个例子中，联邦调查局与一家数据经纪人签署了一份“调查前活动”的合同。

由于复杂的应用程序隐私政策和数据代理条款和条件，普通美国公民可能不知道他们手机的位置数据是如何进入执法数据库的。 那会麻烦你吗？ 如果是这样，是时候自己动手并从源头停止数据收集了。 使用 Apple 和 Google 提供的位置隐私功能对您的位置保密 apps. iOS 允许用户阻止任何应用程序知道他们的位置，而谷歌的 Android 12 增加了类似的控件。

本周安全世界还发生了什么？