美國網絡安全與基礎設施安全局(CISA)高級官員周一表示,安全專業人員將在很長一段時間內,與嚴重的 Log4j 安全漏洞作鬥爭。如果未打補丁或無視修復,一個月前在 Apache Log4j 中曝光的 Java 日誌庫安全漏洞,將給互聯網帶來巨大的風險。網絡攻擊者可利用廣泛使用的軟件中的漏洞,接管受害計算機和服務器,進而使消費電子產品和政企系統全面淪陷。
(截圖 via NIST)
在周一的電話會議期間,CISA 主任 Jen Easterly 向記者透露:儘管還有許多攻擊未見諸報端,但目前尚未有任何美國聯邦機構受到 Log4j 漏洞、以及重大網絡攻擊的損害。
該漏洞波及數以千萬計的互聯網聯網設備,影響範圍之廣,使之成為 CISA 史上最糟糕的一次經歷。
此外攻擊者可能正在等待一個大家都感到懈怠的時機,從而讓 Log4Shell 能夠在未來更好地用於入侵。
(截圖 via CISA)
Jen Easterly 還援引了 2017 年發生的 Equifax 數據泄露事件,其同樣歸咎於開源軟件中的一個漏洞,最終導致近 1.5 億美國人的個人信息泄露。
截至目前,大多數漏洞利用仍集中在較低級的加密貨幣挖礦、或嘗試將受害設備拖入殭屍網絡。最先曝出的,就是微軟旗下的《我的世界》遊戲服務器。
與此同時,世界各地也發生了類似的大規模攻擊。比如上月,比利時國防部就證實,其系統也因 Log4j 安全漏洞而遭到了破壞。