美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)高級(jí)官員周一表示，安全專業(yè)人員將在很長(zhǎng)一段時(shí)間內(nèi)，與嚴(yán)重的 Log4j 安全漏洞作斗爭(zhēng)。如果未打補(bǔ)丁或無(wú)視修復(fù)，一個(gè)月前在 Apache Log4j 中曝光的 Java 日志庫(kù)安全漏洞，將給互聯(lián)網(wǎng)帶來(lái)巨大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)攻擊者可利用廣泛使用的軟件中的漏洞，接管受害計(jì)算機(jī)和服務(wù)器，進(jìn)而使消費(fèi)電子產(chǎn)品和政企系統(tǒng)全面淪陷。

(截圖 via NIST)

在周一的電話會(huì)議期間，CISA 主任 Jen Easterly 向記者透露：盡管還有許多攻擊未見諸報(bào)端，但目前尚未有任何美國(guó)聯(lián)邦機(jī)構(gòu)受到 Log4j 漏洞、以及重大網(wǎng)絡(luò)攻擊的損害。

• 該漏洞波及數(shù)以千萬(wàn)計(jì)的互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備，影響范圍之廣，使之成為 CISA 史上最糟糕的一次經(jīng)歷。
• 此外攻擊者可能正在等待一個(gè)大家都感到懈怠的時(shí)機(jī)，從而讓 Log4Shell 能夠在未來(lái)更好地用于入侵。

(截圖 via CISA)

Jen Easterly 還援引了 2017 年發(fā)生的 Equifax 數(shù)據(jù)泄露事件，其同樣歸咎于開源軟件中的一個(gè)漏洞，最終導(dǎo)致近 1.5 億美國(guó)人的個(gè)人信息泄露。

截至目前，大多數(shù)漏洞利用仍集中在較低級(jí)的加密貨幣挖礦、或嘗試將受害設(shè)備拖入僵尸網(wǎng)絡(luò)。最先曝出的，就是微軟旗下的《我的世界》游戲服務(wù)器。

與此同時(shí)，世界各地也發(fā)生了類似的大規(guī)模攻擊。比如上月，比利時(shí)國(guó)防部就證實(shí)，其系統(tǒng)也因 Log4j 安全漏洞而遭到了破壞。