影響恐遍及全網 Log4j資安漏洞重點一次看

被廣泛使用的軟體Log4j中的一個嚴重漏洞，讓資安專家發出警訊，各大企業也紛紛忙著要解決這個問題。 上週末通報的這項漏洞存在於以Java語言開發的日誌框架Log4j中，大型機構會使用該軟體來設定應用程式；這個漏洞對網路的絕大部分領域構成潛在風險。示意圖。（圖／GettyImages）

【新唐人亞太台 2021 年 12 月 16 日訊】被廣泛使用的軟體Log4j中的一個嚴重漏洞，讓資安專家發出警訊，各大企業也紛紛忙著要解決這個問題。

上週末通報的這項漏洞存在於以Java語言開發的日誌框架Log4j中，大型機構會使用該軟體來設定應用程式；這個漏洞對網路的絕大部分領域構成潛在風險。

根據資安研究人員說法，蘋果公司（Apple）的雲端運算服務、資安公司Cloudflare，以及全球最受歡迎的電玩遊戲Minecraft是使用Log4j的眾多服務之一。

美國國土安全部網路安全和基礎設施安全局（CISA）局長伊斯特利（Jen Easterly）表示，這是她職涯看過「最嚴重的漏洞之一」。伊斯特利11日發表聲明指出，有「愈來愈多」駭客正在積極嘗試利用這個漏洞。

根據資安公司Check Point本週的數據，截至14日為止，每分鐘就發生超過100次駭客嘗試攻擊。

資安公司TrustedSec執行長甘迺迪（David Kennedy）指出，這個問題需要幾年時間才能解決，然而駭客會每天持續尋求利用這個漏洞，對企業來說猶如定時炸彈。

● Log4j是什麼？為什麼重要？

根據資安專家說法，Log4j是最受歡迎的網路紀錄檔記錄工具之一。Log4j提供軟體開發者方法來建立活動紀錄，以用在各種目的上，諸如問題排除、審核和數據追蹤。由於它是免費開放資源，Log4j基本上觸及網路各個領域。

資安公司Veracode研究總監克里斯．伍（Chris Eng，音譯）向美國有線電視新聞網商業頻道（CNN Business）表示：「它無所不在。就算你是沒有直接使用Log4j的開發者，也有可能在操作這個脆弱的程式碼，因為你使用的其中一個開放原始碼程式庫仰賴Log4j。這就是軟體的性質，它會無限延續下去。」

● 駭客在利用這個漏洞嗎？

根據Cloudflare說法，早在此事曝光的一週前，駭客似乎已經開始利用這項軟體漏洞。如今隨著每天發生的駭客嘗試攻擊次數如此之高，有些人擔心最糟的情況還在後頭。

微軟公司（Microsoft）14日晚間在部落格更新文章中表示，來自中國、伊朗、北韓和土耳其獲國家撐腰的駭客嘗試利用Log4j漏洞。

● 為何這項資安漏洞如此嚴重？

專家特別擔心這項漏洞，因為駭客能輕易進入一間企業的電腦伺服器，讓他們得以進入網路其他領域；據甘迺迪說法，要找出漏洞或確認一個系統是否已經遭到損害也相當困難。

除此之外，14日晚間又發現Log4j系統的第2個漏洞。開發Log4j和其他開放原始碼軟體的非營利組織阿帕契軟體基金會（Apache Software Foundation）已經釋出安全補丁供各個機構使用。

● 企業行號如何試著解決問題？

Minecraft上週發表部落格貼文，宣布在其遊戲一個版本中發現漏洞，已迅速發出補丁。其他企業也採取類似做法。

國際商業機器公司（IBM）、甲骨文公司（Oracle）、亞馬遜網路服務（AWS）和Cloudflare都對客戶發出建議，部分推出安全更新，或概述他們可能推出補丁的計畫。

甘迺迪說：「這是如此嚴重的漏洞，但這不像傳統重大漏洞一樣點個按鈕就能修補，而是需要很多時間與功夫。」

為了提高透明度並減少不實訊息，CISA表示會設立一個公共網站，針對哪些軟體產品受到該漏洞影響，以及駭客如何利用這些漏洞，不時發表更新。

● 接下來呢？

美國政府已經對受到影響的企業發出警示，要求在假期期間對勒索軟體和網路攻擊提高警覺。

有人擔心會有愈來愈多的惡意行為人用新的方法來利用這項漏洞，雖然大型科技公司或許本有安全團隊來處理這些潛在威脅，但許多其他機構卻沒有。

資安公司Red Canary情報主任尼克爾斯（Katie Nickels）表示：「我最擔心的是學區、醫院，以及只有一位資訊人員的地方，此人負責資安，沒有時間、安全預算或工具來處理。這些是我最擔心的組織，也就是只有小額安全預算的小型組織。」

（新聞來源：中央社）