在本周一的電話簡報中,網絡安全和基礎設施安全局(CISA)局長 Jen Easterly 告訴行業領導者,近期曝光的 Apache Log4j 漏洞破壞力即便不是最嚴重的,但也是她整個職業生涯中遇到的最嚴重漏洞之一。她表示:“我們預計該漏洞將被複雜的行為者廣泛利用,我們只有有限的時間來採取必要的措施,以減少損害的可能性。該問題是一個未經認證的遠程執行漏洞,可能允許入侵者接管受影響的設備”。
在與關鍵基礎設施所有者和運營商的通話中,CISA 漏洞管理辦公室的 Jay Gazlay 表示數以億計的設備將會受到影響。作為國土安全部的一個組成部分,CISA 最快將在周二建立一個專門的網站,以提供信息並打擊“積極的虛假信息”。該機構負責網絡安全的執行助理主任 Eric Goldstein 說該漏洞將“允許遠程攻擊者輕鬆控制他們利用該漏洞的系統”。
該行業簡報是世界各地政府官員發出的最新警報,CISA 在周末與奧地利、加拿大、新西蘭和英國等國一起發出了警告。Goldstein說,CISA預計各種攻擊者都會利用這一漏洞,從加密者到勒索軟件集團,甚至更多。他說:“目前還沒有證據表明存在積極的供應鏈攻擊”。
Gazlay 說,企業需要“持續的努力”才能變得安全,即使在應用了 Apache 的補丁之後,也需要勤奮更新。Gazlay 說:“沒有任何單一的行動可以解決這個問題”。如果認為任何人“在一兩個星期內就能解決這個問題”,那是一個錯誤。