2022年1月11日

 

在首次發現所謂的Log4j軟體漏洞一個多月後，美國網路安全官員仍在對此發出警報，警告說一些犯罪分子和國家的對手可能正在等待對他們新發現的對關鍵系統的存取權限加以利用。

美國國土安全部的網路安全和基礎設施安全局 (CISA) 週一表示，這個也稱為Log4shell的安全性漏洞在過去幾周內一直被犯罪分子廣泛利用，但更嚴重和更具破壞性的攻擊可能仍在籌畫中。

“我們確實預計Log4Shell將在今後被用於入侵，”網路安全和基礎設施安全局的局長伊斯特利(Jen Easterly)在一次電話簡報中對媒體說。她補充說，“目前我們還沒有看到Log4shell的使用導致重大入侵。”

 

“這可能是這種情況，因為老練的對手已經使用這個漏洞來利用目標，並且正在等待利用他們的新訪問准入，直到網路防禦者處於較低警戒狀態，”她說。

由美國阿帕奇軟體基金會生產的開源軟體中的這個漏洞是由中國科技巨頭阿裡巴巴於11月下旬首次發現的。對公眾的第一次警告於12月初發出。

網路安全官員和專家們最初將該軟體中的漏洞描述為可能是有史以來發現的最嚴重的漏洞，並提到該軟體的廣泛使用——在全球私營公司和政府使用的至少2,800 種產品中。

 

網路安全和基礎設施安全局週一表示，該漏洞已影響全球數億台設備，許多軟體供應商競相向其客戶發佈安全補丁。

到目前為止，美國的機構看來毫髮無損。

網路安全和基礎設施安全局網路安全執行助理局長戈德斯坦(Eric Goldstein)對媒體說：“目前，我們沒有看到整個國家的聯邦機構有任何確認受到影響的情況，包括關鍵的基礎設施。”

 

但他告誡說，儘管老練的駭客組織和外國對手沒有發起破壞性的攻擊，但危險尚未過去。

“這種情況當然有可能發生變化，對手可能會利用這個漏洞來獲得他們將來可以使用的持久存取權限，這就是為什麼我們如此專注於在全國範圍內修復漏洞並確保當任何入侵發生時我們能夠檢測到，”他說。

然而，有報導稱，其他國家已經成為試圖利用該軟體漏洞的網路攻擊者的目標。

 

比利時國防部上個月表示，其部分電腦系統上個月在遭到一次攻擊後癱瘓，據信其中的Log4j漏洞被利用。

一些安全專家警告說，包括中國、伊朗、朝鮮和土耳其在內的其他國家也試圖利用Log4j。

微軟的威脅情報中心上周在一篇博文中寫道：“這種活動的範圍從開發期間的實驗、漏洞集成到野外有效載荷部署，並針對目標的利用來實現操作者的目的。”

 

微軟特別表示，以發起勒索軟體攻擊而聞名的伊朗網路威脅組織Phosphorus已經修改了Log4j 漏洞以用於攻擊，而名為Hafnium的中國組織也使用它進行一些有針對性的活動。

私營網路安全公司群擊(CrowdStrike)的評估稱，一家位於中國的、名為“水生熊貓“(Aquatic Panda)的組織試圖利用Log4j 漏洞攻擊一家未具名的學術機構。

網路安全和基礎設施安全局週一表示無法獨立確認此類報告，並進一步表示尚未發現攻擊者使用Log4j 漏洞進入受害者系統的任何勒索軟體襲擊。

 

該機構的主管表示，一個原因可能是“在這個漏洞被使用和它被積極部署之間可能存在延遲。”

伊斯特利還警告說，由於國會未能通過要求私營公司報告網路攻擊的立法，美國官員無法看到資訊。白宮和許多議員一段時間以來一直在宣導這樣的立法。

她說：“我們擔心威脅行為者將開始利用這一漏洞，特別是對關鍵基礎設施產生影響，而且由於沒有立法，我們可能不會知道這一點。”