CISA 主管：Log4j 漏洞影响巨大 安全业面临一场持久战

美国网络安全与基础设施安全局（CISA）高级官员周一表示，安全专业人员将在很长一段时间内，与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复，一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞，将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞，接管受害计算机和服务器，进而使消费电子产品和政企系统全面沦陷。

（截图 via NIST）

在周一的电话会议期间，CISA 主任 Jen Easterly 向记者透露：尽管还有许多攻击未见诸报端，但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。

该漏洞波及数以千万计的互联网联网设备，影响范围之广，使之成为 CISA 史上最糟糕的一次经历。

此外攻击者可能正在等待一个大家都感到懈怠的时机，从而让 Log4Shell 能够在未来更好地用于入侵。

http://hackernews.cc/wp-content/uploads/2022/01/80195332fea4a72-600x547.png

（截图 via CISA）

Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件，其同样归咎于开源软件中的一个漏洞，最终导致近 1.5 亿美国人的个人信息泄露。

截至目前，大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的，就是微软旗下的《我的世界》游戏服务器。

与此同时，世界各地也发生了类似的大规模攻击。比如上月，比利时国防部就证实，其系统也因 Log4j 安全漏洞而遭到了破坏。

（消息及封面来源：cnBeta）