美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)高級官員周一表示，安全專業(yè)人員將在很長一段時間內(nèi)，與嚴重的 Log4j 安全漏洞作斗爭。如果未打補丁或無視修復(fù)，一個月前在 Apache Log4j 中曝光的 Java 日志庫安全漏洞，將給互聯(lián)網(wǎng)帶來巨大的風險。網(wǎng)絡(luò)攻擊者可利用廣泛使用的軟件中的漏洞，接管受害計算機和服務(wù)器，進而使消費電子產(chǎn)品和政企系統(tǒng)全面淪陷。

(截圖 via NIST)

在周一的電話會議期間，CISA 主任 Jen Easterly 向記者透露：盡管還有許多攻擊未見諸報端，但目前尚未有任何美國聯(lián)邦機構(gòu)受到 Log4j 漏洞、以及重大網(wǎng)絡(luò)攻擊的損害。

• 該漏洞波及數(shù)以千萬計的互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備，影響范圍之廣，使之成為 CISA 史上最糟糕的一次經(jīng)歷。
• 此外攻擊者可能正在等待一個大家都感到懈怠的時機，從而讓 Log4Shell 能夠在未來更好地用于入侵。

(截圖 via CISA)

Jen Easterly 還援引了 2017 年發(fā)生的 Equifax 數(shù)據(jù)泄露事件，其同樣歸咎于開源軟件中的一個漏洞，最終導(dǎo)致近 1.5 億美國人的個人信息泄露。

截至目前，大多數(shù)漏洞利用仍集中在較低級的加密貨幣挖礦、或嘗試將受害設(shè)備拖入僵尸網(wǎng)絡(luò)。最先曝出的，就是微軟旗下的《我的世界》游戲服務(wù)器。

與此同時，世界各地也發(fā)生了類似的大規(guī)模攻擊。比如上月，比利時國防部就證實，其系統(tǒng)也因 Log4j 安全漏洞而遭到了破壞。