檢視連網汽車與充電站的 Log4j 漏洞

2022 年 01 月 04 日2022 年 01 月 03 日趨勢科技 TrendMicro

本文將檢視連網汽車相關裝置或配備所存在的 Log4j 漏洞，尤其是充電設備、車用資訊娛樂系統，以及控制車門開關的數位遙控器。

Apache Log4j 這個遠端程式碼執行 (RCE) 漏洞自從2021 年 12 月 9 日正式曝光以來已經累積了大量的相關文章，這現象確實反映出它的衝擊範圍。因為，有無數的應用程式在未修改其程式碼的狀況下直接使用了這個函式庫來產生記錄檔。這表示此漏洞的可攻擊面極為廣大，包括：Amazon、Apple、Cloudflare、Google、Tencent、Twitter 以及許多其他知名廠商都曾經是潛在的攻擊目標。不僅如此，這個被稱為「Log4Shell」的漏洞甚至還影響到一些嵌入式裝置。在這份報告中，我們將仔細探討車用裝置或配備所存在的 Log4j 漏洞，尤其是充電設備、車用資訊娛樂系統 (IVI)，以及控制車門開關的「數位」遙控器。

企業該如何處理 Log4j 漏洞問題?

2021 年 12 月 23 日2022 年 01 月 03 日趨勢科技 TrendMicro

Apache Log4j 這個為 Java 程式提供記錄檔功能的熱門程式套件，於2021.12.09被公佈了一個嚴重的資安漏洞。該漏洞影響了Apache Log4j 日誌的多個版本，駭客可藉由發送一種特別的記錄檔訊息來觸發這個漏洞，啟動遠端程式碼執行 (RCE)。該漏洞已被識別為CVE-2021-44228、CVE-2021-45046和CVE-2021-45105，並命名為 Log4Shell。截至目前爲止，已有多項嚴重災情發生。本文帶您了解企業目前所採取的防範措施，以及等到危機稍微緩解之後，企業該做些什麼?

Log4j 漏洞問題該怎麼處理 ?

Log4j 為 IT 帶來了一些深層的挑戰，本文將探討一些企業目前以及未來兩個禮拜當中所採取的一些防範措施，並點出一些危機稍微緩解之後企業該做的事。

繼續閱讀

COP26 支持電動車來減緩氣候變遷

2021 年 12 月 22 日2021 年 12 月 20 日趨勢科技 TrendMicro

第 26 屆聯合國氣候變遷大會 (United Nations Climate Change Conference) 敦促成員國更全面地推廣電動車來減緩氣候變遷的迫切威脅。

2021 年聯合國氣候變遷大會 (United Nations Climate Change Conference) 在今年 10 月 31 日開幕，討論將如何解決迫在眉睫的氣候變遷威脅。會議期間，各國皆期盼電動車 (EV) 能在減緩氣候變遷的多種方式當中擔任主要角色。

2021 年是成員國第 26 年在聯合國框架之下召開有關氣候變遷的會議，所以這場會議也稱為 COP26，這是自從 COP21 以來，成員國首次被期望採取更強烈的手段來對抗氣候變遷問題。

繼續閱讀

【Log4j爆核彈級漏洞】端點裝置是否有遭到 Log4Shell 攻擊的危險？

2021 年 12 月 21 日2022 年 01 月 21 日趨勢科技 TrendMicro

「Log4Shell」是最近在一個名為「Log4j」的 Java 工具中被發現的漏洞，此漏洞被很多人視為有史以來最嚴重的漏洞。據說就在這個漏洞被揭露的 12 小時內，網路犯罪集團就已經完全開發出對應此漏洞的攻擊武器。這個十年來最嚴重的漏洞，而且人人都有危險，Google、Apple、Amazon、 Netflix等等也都無法倖免。

我們製作了一個免費掃描工具來協助您檢查您的裝置是否有遭到 Log4Shell 攻擊的危險。

就在 2021 年接近尾聲之際，突然出現了一個名為 Log4Shell (CVE-2021-44228) 的漏洞，這是Apache Log4j 這個使用廣泛的 Java 記錄檔函式庫套件當中的一個重大漏洞。駭客只需利用一個精心設計的記錄檔訊息就能經由 Log4Shell 漏洞在遠端電腦上執行程式碼。由於這項漏洞的潛在衝擊龐大，因此它在 CVSS 2.0 與 CSVV 3.x 漏洞評分系統的危險等級分別 10.0 與 9.3 也就不難理解。

由於 Log4j 套件的使用情況非常普遍，所以此漏洞的潛在影響非常深遠。任何意圖不良的駭客一旦掌控了使用 Log4J 記錄檔的系統及相關處理程序，就能從遠端執行程式碼來發動攻擊。

儘管駭客目前的目光都放在伺服器上，但未來難保不會出現第二波針對端點裝置的攻擊。

趨勢科技 Trend Micro Log4Shell 漏洞評估工具
我們提供一個快速簡便、免費的的自助式安全評估工具，您可以運用Trend Micro Vision One 威脅防禦平台，識別可能受 Log4Shell 影響的端點和伺服器應用程式。這項評估可立即提供攻擊面向的詳細資訊，並提供後續處理步驟以降低資安風險。詳情請看

可能遭到攻擊的裝置

繼續閱讀

Apache Log4j 爆十年來最嚴重的漏洞，而且人人都有危險，Google、Apple、Amazon、 Netflix 等等也都無法倖免

2021 年 12 月 16 日2022 年 01 月 21 日趨勢科技 TrendMicro

「Log4Shell」是最近在一個名為「Log4j」的 Java 工具中被發現的漏洞，此漏洞被很多人視為有史以來最嚴重的漏洞。打個比方，網際網路現在已經火燒遍野了。不僅如此，據說就在這個漏洞被揭露的 12 小時內，網路犯罪集團就已經完全開發出對應此漏洞的攻擊武器。

Log4Shell: The Worst Bug in a Decade, Affecting Everyone Including Google, Apple, Amazon, and Netflix

Log4Shell 漏洞能讓駭客和間諜輕易進入企業機構的內部網路來竊取資料、植入惡意程式和刪除資訊。由於幾乎所有企業都在使用 Java，所以人人都有危險。

Cloudflare 的 Joe Sullivan 表示：「我很難想像有哪家企業會沒有危險」。事實上，數以百萬計的伺服器都安裝了這套軟體，那些「已經被證實」陷入危險的包括：Google、Amazon、Netflix、Android、Apple、IBM、Tesla、Badu、Twitter、Steam、Alibaba 以及 Minecraft (此漏洞首次被發現的地方)。

趨勢科技開發了一個網頁式工具「 趨勢科技 Trend Micro Log4Shell 漏洞評估工具 」來協助使用者偵測其伺服器應用程式是否含有此漏洞。
這個快速簡便、免費的的自助式安全評估工具，您可以運用Trend Micro Vision One 威脅防禦平台，識別可能受 Log4Shell 影響的端點和伺服器應用程式。這項評估可立即提供攻擊面向的詳細資訊，並提供後續處理步驟以降低資安風險。完整的趨勢科技解決方案清單，詳情請看。

繼續閱讀