CISA敦促美國聯邦機構在聖誕節前完成Log4Shell漏洞修補

美國網絡安全和基礎設施安全局(CISA)已經向各聯邦機構發去警示,敦促其在平安夜前修補受 Log4Shell 漏洞影響的系統。昨日,該機構已將 CVE-2021-44228 和其它 12 個安全漏洞列入“主動漏洞利用目錄”。基於此,相關聯邦機構將有十天時間來測試有哪些內部應用程序 / 服務器使用了 Log4j Java 庫、檢查系統是否易受 Log4Shell 攻擊、並及時修補受影響的服務器。

CISA Log4j.jpg

由目錄時間表可知,上述工作需在 12 月 24 日之前完成。

此外,CISA 於昨日提出了一個專門的網頁,旨在為美國公共和私營部門提供有關 Log4Shell 漏洞緩解措施的指導。

該機構計劃在該頁列出所有易受 Log4Shell 漏洞影響的軟件供應商,以便大家即使獲取最新且全面的補丁信息。

儘管自上周以來,廠商已經陸續推出了緊急補丁,但要等到正式融合於相關軟件,顯然還需要再等待一段時間。

CISA Log4j.png

雖然 CISA 工作人員仍在通過 GitHub 收集項目信息,但安全研究員 Royce Williams 已經編製了哪些產品易受 Log4Shell 漏洞攻擊影響的一份列表(其中涵蓋了 300 多家供應商),此外還有一份由荷蘭國家網絡安全中心維護的名錄。

至於造成本次風波的罪魁禍首,其源於 Log4j 這個 Java 庫中的一個 bug 。Log4j 為許多 Java 桌面應用程序 / 服務器軟件提供了日誌創建和管理功能,但幾乎無處不在的大規模漏洞利用,已將各個行業逼到了相當危險的境地。

另一個需要考慮的是,思科與 Cloudflare 均表示,他們曾於漏洞公開兩周前首次看到 Log4Shell 被利用的跡象 —— 確切說法是 12 月 1 日發生了首次攻擊(而不是上周)—— 意味着安全團隊需要擴大相關響應事件的調查。

相關文章:

CISA示警Log4j破壞力驚人 數億台設備受到影響

Log4j漏洞大流行:72小時內發生超84萬起攻擊

(0)
上一篇 2021-12-15 16:27
下一篇 2021-12-15 17:05

相关推荐