美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)已經(jīng)向各聯(lián)邦機(jī)構(gòu)發(fā)去警示，敦促其在平安夜前修補(bǔ)受 Log4Shell 漏洞影響的系統(tǒng)。昨日，該機(jī)構(gòu)已將 CVE-2021-44228 和其它 12 個(gè)安全漏洞列入“主動(dòng)漏洞利用目錄”?；诖耍嚓P(guān)聯(lián)邦機(jī)構(gòu)將有十天時(shí)間來(lái)測(cè)試有哪些內(nèi)部應(yīng)用程序 / 服務(wù)器使用了 Log4j Java 庫(kù)、檢查系統(tǒng)是否易受 Log4Shell 攻擊、并及時(shí)修補(bǔ)受影響的服務(wù)器。

由目錄時(shí)間表可知，上述工作需在 12 月 24 日之前完成。

此外，CISA 于昨日提出了一個(gè)專(zhuān)門(mén)的網(wǎng)頁(yè)，旨在為美國(guó)公共和私營(yíng)部門(mén)提供有關(guān) Log4Shell 漏洞緩解措施的指導(dǎo)。

該機(jī)構(gòu)計(jì)劃在該頁(yè)列出所有易受 Log4Shell 漏洞影響的軟件供應(yīng)商，以便大家即使獲取最新且全面的補(bǔ)丁信息。

盡管自上周以來(lái)，廠商已經(jīng)陸續(xù)推出了緊急補(bǔ)丁，但要等到正式融合于相關(guān)軟件，顯然還需要再等待一段時(shí)間。

雖然 CISA 工作人員仍在通過(guò) GitHub 收集項(xiàng)目信息，但安全研究員 Royce Williams 已經(jīng)編制了哪些產(chǎn)品易受 Log4Shell 漏洞攻擊影響的一份列表(其中涵蓋了 300 多家供應(yīng)商)，此外還有一份由荷蘭國(guó)家網(wǎng)絡(luò)安全中心維護(hù)的名錄。

至于造成本次風(fēng)波的罪魁禍?zhǔn)?，其源?Log4j 這個(gè) Java 庫(kù)中的一個(gè) bug 。Log4j 為許多 Java 桌面應(yīng)用程序 / 服務(wù)器軟件提供了日志創(chuàng)建和管理功能，但幾乎無(wú)處不在的大規(guī)模漏洞利用，已將各個(gè)行業(yè)逼到了相當(dāng)危險(xiǎn)的境地。

另一個(gè)需要考慮的是，思科與 Cloudflare 均表示，他們?cè)诼┒垂_(kāi)兩周前首次看到 Log4Shell 被利用的跡象 —— 確切說(shuō)法是 12 月 1 日發(fā)生了首次攻擊(而不是上周)—— 意味著安全團(tuán)隊(duì)需要擴(kuò)大相關(guān)響應(yīng)事件的調(diào)查。