软件漏洞十年来最严重 全球数亿部电脑受考验
2021-12-15 04:30
(星岛日报报道)一个全球广泛使用的软件程式库内新发现的漏洞,正造成网络大乱,黑客摩拳擦掌趁机作乱,逼使各大企业急补漏洞。网络保安专家指,这个Apache Log4j远端程式码执行漏洞,是过去十年来最大且最严重的单一软件漏洞。CNN报道,这项软件漏洞令全球数以亿计电脑等装置受潜在影响。世界各地的公司和政府机构纷纷采取紧急行动,防范源于此漏洞的网络攻击。
这个漏洞隐藏在一款名为Log4j的不起眼伺服器软件之中,网络安全人员表示,企业网络非常广泛地使用Log4j。漏洞存在于电脑程式设计语言Java日志框架的Log4j,被广泛应用于各种应用程式和网络服务,是一种程式内的记录工具,保存执行活动的过程,方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行记录,使得Log4j这类受欢迎的日志框架影响广泛。
CISA促各公司应战
美国国土安全部旗下网络安全及基建安全局(CISA)局长伊斯特利周一在视像会议上表示,这次Apache Log4j漏洞,是多年来看过最大的漏洞之一,敦促各公司让员工在假日上班,应对那些欲使用新方法利用这种漏洞的人。网络安全公司Tenable行政总裁、美国电脑紧急应变小组创始董事约伦(Amit Yoran)更直言,Apache Log4j远端程式码执行漏洞是过去十年来最大且最严重的单一漏洞。
CNN报道,CISA局长伊斯特利已经与大型金融机构、医疗保健机构和其他大企业的高层接触,商讨对策。伊斯特利强调,必须采取行动应对这个严重漏洞,否则全球各地可能有数以亿计的电脑和电子装置会受到影响。伊斯特利说:「今次发现的软件漏洞,在我整个职业生涯中就算不是最严重的,也其中一次最严重事件。我们预计有些人会广泛地利用这种漏洞,因此我们必须在有限的时间内采取必须的步骤,藉以降低发生破坏性事故的可能性。」
作为国土安全部的一个组成部分,CISA最快周二会设立专门网站,以提供讯息并打击虚假讯息。该机构负责网络安全的执行助理主任戈德斯坦说,该漏洞将「允许远程攻击者轻松控制其欲利用该漏洞的系统」。
iCloud Steam或受影响
美国政府上周五对私人企业警告Log4j漏洞及其可能造成的风险。该漏洞可能让黑客透过网络入侵数以百万款程式,苹果iCloud、游戏平台Steam等都可能沦为黑客攻击目标。有安全专家表示,虽然Apache已释出修补程式,受影响的公司和网络捍衞者仍需时间找出脆弱的软件,确实执行修补程式。德国已启动国家资讯科技危机处理中心,以应对这宗其称为「极其严重」的软件漏洞。
《华尔街日报》引述Log4j开发团队志愿者Ralph Goers称,这个漏洞在上个月底报告给该团队(Log4j开发团队由一群程式员志愿者组成,无偿发布软件)。研究人员说,这个漏洞首先在电玩游戏Minecraft伺服器被发现,他们发现黑客可以通过发布聊天讯息来触发漏洞。资讯安全分析公司GreyNoise推文称,公司已经检测到许多伺服器正在网上搜索易受此漏洞攻击的设备。微软上周五发布了一份通知,建议部分Minecraft游戏玩家升级软件以修补该漏洞。
思科公司正在排查其一百五十多款产品,以寻找Log4j漏洞,截至上周六,思科已发现有三款产品存在该漏洞。
最新回应