ExpressVPN 快速推出 Log4Shell 漏洞保护功能

    ExpressVPN 已经确定并推出了针对 Log4Shell 漏洞的保护层。现在所有 ExpressVPN 用户都受益于这种保护——只需打开 VPN。

    关键的零日漏洞 (CVE-2021-44228) 一直在互联网上造成严重破坏，Wired 称之为“全面的安全崩溃”。Minecraft 中已经展示了一个实时漏洞——大量的服务和公司已被确定为易受攻击，包括 Apple 的 iCloud、Steam、亚马逊、特斯拉和 Twitter。

    这一新的保护层于2021 年 12 月 14 日格林威治标准时间 09:30 实施，并在全球所有 ExpressVPN VPN 服务器上生效。这意味着在他们的设备或路由器上使用 ExpressVPN 的每个人都可以免受 Log4j 漏洞的影响。此缓解措施是服务器端的，因此不需要用户采取任何措施。

    ExpressVPN 的首席架构师 Peter Membrey 说：“虽然这个漏洞没有直接影响我们，我们公司系统的安全也完好无损，但我们并不满足于坐视这对世界的影响。我们客户所依赖的许多应用程序和服务都受到了影响。鉴于 LDAP 是一种网络协议，我们看到了作为 VPN 提供针对此漏洞的基本保护层的机会。

    “此外，虽然对 Log4Shell 带来的风险的关注主要集中在服务器基础设施上，但事实是 Log4j 也用于许多客户端应用程序，消费者很容易受到攻击。

    “我们将 Log4Shell 确定为依赖 LDAP 和 Java RMI 的漏洞，因此有两种可能的途径来克服它：基于端口的阻塞和基于数据包的阻塞。我们立即实施了基于端口的阻塞解决方案，因为它是上市速度最快的解决方案，并且快速响应对于最大限度地减少此漏洞在全球的影响至关重要。但是，我们将继续研究基于数据包的方法，并计划在它准备好后尽快推出，我们相信我们可以在客户端实现它，而不会对隐私产生负面影响。

    “需要明确的是，这不是灵丹妙药，但会对保护互联网用户产生重大影响。这个漏洞的性质意味着仅仅精通网络安全并不能保护你免受它的侵害——特别是如果你使用允许聊天的平台，比如 Minecraft，或者其他游戏或社交平台。”

保护自己的额外措施：

除了为所有互联网连接打开VPN 以外，建议互联网用户：

• 更新您的防火墙设置以阻止您通常不会使用的非标准端口上的出站流量，尤其是那些已知被 Log4Shell 使用的端口（RMI – 1099、LDAP – 389、636、1389、3268、3269 或其他） .
• 为您的应用程序打开自动更新，或者如果有可用的安全补丁则手动更新它们。
• 随着安全社区对该漏洞及其漏洞利用的理解不断发展，在确定其他解决方案和缓解措施时继续检查。随着我们了解更多信息，我们将根据我们的建议不断更新此博文。

ExpressVPN 在内部采取什么措施来应对这种威胁：

    我们已主动验证我们的代码库要么已打好补丁，要么没有漏洞。另外，我们还采取了额外的步骤和措施，在我们的网络设备和员工工作站上推行扩展安全措施，以防止漏洞发挥作用。我们正在积极监控情况并利用威胁情报源主动监控我们的资产是否有由于此漏洞而导致的入侵迹象，并密切关注所有新发现的可能受此影响的软件和硬件。

关于 Log4Shell：

    Log4Shell 的严重性等级为 10.0（总分 10.0），被称为“破坏互联网的错误”。

    其重要性的关键在于它会影响在互联网基础设施中无处不在的 Log4j。因此，似乎几乎所有使用 Java 的主要服务以及许多应用程序都在某种程度上存在漏洞。

    此外，无需受害者单击任何链接、按任何键或以其他方式执行任何操作，即可轻松执行 Log4Shell 攻击。例如，流行游戏 Minecraft 中演示的漏洞利用只需要恶意行为者在聊天框中输入一条消息即可访问 Minecraft 的服务器。

    随着时间的推移，越来越多的应用程序和服务将面临被利用的风险，其中包括我们客户正在使用的许多应用程序和服务。此漏洞的规模如此之大，只能突显出快速找到有效修复方法的重要性。

以上内容来自ExpressVPN的官方公告，中文为翻译件，可能存在错误。
单击此处查看英语原文：ExpressVPN delivers Log4Shell protection to users