美國網絡安全和基礎設施安全局(CISA)已經向各聯邦機構發去警示,敦促其在平安夜前修補受 Log4Shell 漏洞影響的系統。昨日,該機構已將 CVE-2021-44228 和其它 12 個安全漏洞列入“主動漏洞利用目錄”。基於此,相關聯邦機構將有十天時間來測試有哪些內部應用程序 / 服務器使用了 Log4j Java 庫、檢查系統是否易受 Log4Shell 攻擊、並及時修補受影響的服務器。
由目錄時間表可知,上述工作需在 12 月 24 日之前完成。
此外,CISA 於昨日提出了一個專門的網頁,旨在為美國公共和私營部門提供有關 Log4Shell 漏洞緩解措施的指導。
該機構計劃在該頁列出所有易受 Log4Shell 漏洞影響的軟件供應商,以便大家即使獲取最新且全面的補丁信息。
儘管自上周以來,廠商已經陸續推出了緊急補丁,但要等到正式融合於相關軟件,顯然還需要再等待一段時間。
雖然 CISA 工作人員仍在通過 GitHub 收集項目信息,但安全研究員 Royce Williams 已經編製了哪些產品易受 Log4Shell 漏洞攻擊影響的一份列表(其中涵蓋了 300 多家供應商),此外還有一份由荷蘭國家網絡安全中心維護的名錄。
至於造成本次風波的罪魁禍首,其源於 Log4j 這個 Java 庫中的一個 bug 。Log4j 為許多 Java 桌面應用程序 / 服務器軟件提供了日誌創建和管理功能,但幾乎無處不在的大規模漏洞利用,已將各個行業逼到了相當危險的境地。
另一個需要考慮的是,思科與 Cloudflare 均表示,他們曾於漏洞公開兩周前首次看到 Log4Shell 被利用的跡象 —— 確切說法是 12 月 1 日發生了首次攻擊(而不是上周)—— 意味着安全團隊需要擴大相關響應事件的調查。
相關文章:
CISA示警Log4j破壞力驚人 數億台設備受到影響
Log4j漏洞大流行:72小時內發生超84萬起攻擊