[[440278]]

在本周一的電話簡(jiǎn)報(bào)中，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)局長(zhǎng) Jen Easterly 告訴行業(yè)領(lǐng)導(dǎo)者，近期曝光的 Apache Log4j 漏洞破壞力即便不是最嚴(yán)重的，但也是她整個(gè)職業(yè)生涯中遇到的最嚴(yán)重漏洞之一。她表示：“我們預(yù)計(jì)該漏洞將被復(fù)雜的行為者廣泛利用，我們只有有限的時(shí)間來采取必要的措施，以減少損害的可能性。該問題是一個(gè)未經(jīng)認(rèn)證的遠(yuǎn)程執(zhí)行漏洞，可能允許入侵者接管受影響的設(shè)備”。

在與關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商的通話中，CISA 漏洞管理辦公室的 Jay Gazlay 表示數(shù)以億計(jì)的設(shè)備將會(huì)受到影響。作為國(guó)土安全部的一個(gè)組成部分，CISA 最快將在周二建立一個(gè)專門的網(wǎng)站，以提供信息并打擊“積極的虛假信息”。該機(jī)構(gòu)負(fù)責(zé)網(wǎng)絡(luò)安全的執(zhí)行助理主任 Eric Goldstein 說該漏洞將“允許遠(yuǎn)程攻擊者輕松控制他們利用該漏洞的系統(tǒng)”。

該行業(yè)簡(jiǎn)報(bào)是世界各地政府官員發(fā)出的最新警報(bào)，CISA 在周末與奧地利、加拿大、新西蘭和英國(guó)等國(guó)一起發(fā)出了警告。Goldstein說，CISA預(yù)計(jì)各種攻擊者都會(huì)利用這一漏洞，從加密者到勒索軟件集團(tuán)，甚至更多。他說：“目前還沒有證據(jù)表明存在積極的供應(yīng)鏈攻擊”。

Gazlay 說，企業(yè)需要“持續(xù)的努力”才能變得安全，即使在應(yīng)用了 Apache 的補(bǔ)丁之后，也需要勤奮更新。Gazlay 說：“沒有任何單一的行動(dòng)可以解決這個(gè)問題”。如果認(rèn)為任何人“在一兩個(gè)星期內(nèi)就能解決這個(gè)問題”，那是一個(gè)錯(cuò)誤。