一個全球廣泛使用的軟件程式庫內新發現的漏洞,正造成網絡大亂,黑客摩拳擦掌趁機作亂,逼使各大企業急補漏洞。網絡保安專家指,這個Apache Log4j遠端程式碼執行漏洞,是過去十年來最大且最嚴重的單一軟件漏洞。CNN報道,這項軟件漏洞令全球數以億計電腦等裝置受潛在影響。世界各地的公司和政府機構紛紛採取緊急行動,防範源於此漏洞的網絡攻擊。
這個漏洞隱藏在一款名為Log4j的不起眼伺服器軟件之中,網絡安全人員表示,企業網絡非常廣泛地使用Log4j。漏洞存在於電腦程式設計語言Java日誌框架的Log4j,被廣泛應用於各種應用程式和網絡服務,是一種程式內的記錄工具,保存執行活動的過程,方便在出現問題時進行檢查。幾乎每個網絡安全系統都會利用某種日誌框架進行記錄,使得Log4j這類受歡迎的日誌框架影響廣泛。
CISA促各公司應戰
美國國土安全部旗下網絡安全及基建安全局(CISA)局長伊斯特利周一在視像會議上表示,這次Apache Log4j漏洞,是多年來看過最大的漏洞之一,敦促各公司讓員工在假日上班,應對那些欲使用新方法利用這種漏洞的人。網絡安全公司Tenable行政總裁、美國電腦緊急應變小組創始董事約倫(Amit Yoran)更直言,Apache Log4j遠端程式碼執行漏洞是過去十年來最大且最嚴重的單一漏洞。
CNN報道,CISA局長伊斯特利已經與大型金融機構、醫療保健機構和其他大企業的高層接觸,商討對策。伊斯特利強調,必須採取行動應對這個嚴重漏洞,否則全球各地可能有數以億計的電腦和電子裝置會受到影響。伊斯特利說:「今次發現的軟件漏洞,在我整個職業生涯中就算不是最嚴重的,也其中一次最嚴重事件。我們預計有些人會廣泛地利用這種漏洞,因此我們必須在有限的時間內採取必須的步驟,藉以降低發生破壞性事故的可能性。」
作為國土安全部的一個組成部分,CISA最快周二會設立專門網站,以提供訊息並打擊虛假訊息。該機構負責網絡安全的執行助理主任戈德斯坦說,該漏洞將「允許遠程攻擊者輕鬆控制其欲利用該漏洞的系統」。
iCloud Steam或受影響
美國政府上周五對私人企業警告Log4j漏洞及其可能造成的風險。該漏洞可能讓黑客透過網絡入侵數以百萬款程式,蘋果iCloud、遊戲平台Steam等都可能淪為黑客攻擊目標。有安全專家表示,雖然Apache已釋出修補程式,受影響的公司和網絡捍衞者仍需時間找出脆弱的軟件,確實執行修補程式。德國已啟動國家資訊科技危機處理中心,以應對這宗其稱為「極其嚴重」的軟件漏洞。
《華爾街日報》引述Log4j開發團隊志願者Ralph Goers稱,這個漏洞在上個月底報告給該團隊(Log4j開發團隊由一群程式員志願者組成,無償發布軟件)。研究人員說,這個漏洞首先在電玩遊戲Minecraft伺服器被發現,他們發現黑客可以通過發布聊天訊息來觸發漏洞。資訊安全分析公司GreyNoise推文稱,公司已經檢測到許多伺服器正在網上搜索易受此漏洞攻擊的設備。微軟上周五發布了一份通知,建議部分Minecraft遊戲玩家升級軟件以修補該漏洞。
思科公司正在排查其一百五十多款產品,以尋找Log4j漏洞,截至上周六,思科已發現有三款產品存在該漏洞。
