美国网络信息安全与基础设施建设安全局(CISA)高级官员周一表明,安全性专业技术人员将在相当长一段时间内,与明显的 Log4j 安全漏洞作斗争。假如未修复漏洞或忽视修补,一个月前在 Apache Log4j 中曝出的 Java 日志库安全漏洞,将给网络产生较大的风险性。互联网攻击者可利用普遍采用的手机软件中的漏洞,接手受害电子计算机和网络服务器,从而使通讯产品和市企系统软件全方位失陷。
(截屏 via NIST)
在周一的会议电话期内,CISA 负责人 Jen Easterly 向新闻记者表露:虽然也有很多进攻未见诸报端,但现阶段暂未有一切美国联邦政府组织遭受 Log4j 漏洞、及其重要黑客攻击的危害。
- 该漏洞蔓延到数以千万计的互联网技术连接网络机器设备,危害区域之广,使之变成 CISA 史上最牛槽糕的一次历经。
- 除此之外攻击者很有可能已经等着一个大家都觉得懒散的机会,进而让 Log4Shell 可以在未来能够更好地用以侵入。
(截屏 via CISA)
Jen Easterly 还引用了 2017 年出现的 Equifax 数据泄漏事情,其一样归因于开源项目中的一个漏洞,最后造成近 1.5 亿美国人的个人信息泄露。
目前为止,大部分漏洞利用仍聚集在较低等的数字货币挖币、或试着将受害机器设备拖进僵尸网络。最开始曝光的,便是微软公司集团旗下的《我的世界》服务器。
此外,世界各国也发生了相似的规模性进攻。例如上月,丹麦国防部长就确认,其系统软件也因 Log4j 安全漏洞而遭受了毁坏。