在本周一的電話簡報中,網絡安全和基礎設施安全局(CISA)局長 Jen Easterly 告訴行業上司者,近期曝光的 Apache Log4j 漏洞破壞力即便不是最嚴重的,但也是她整個職業生涯中遇到的最嚴重漏洞之一。她表示:“我們預計該漏洞将被複雜的行為者廣泛利用,我們隻有有限的時間來采取必要的措施,以減少損害的可能性。該問題是一個未經認證的遠端執行漏洞,可能允許入侵者接管受影響的裝置”。
在與關鍵基礎設施所有者和營運商的通話中,CISA 漏洞管理辦公室的 Jay Gazlay 表示數以億計的裝置将會受到影響。作為國土安全部的一個組成部分,CISA 最快将在周二建立一個專門的網站,以提供資訊并打擊“積極的虛假資訊”。該機構負責網絡安全的執行助理主任 Eric Goldstein 說該漏洞将“允許遠端攻擊者輕松控制他們利用該漏洞的系統”。
該行業簡報是世界各地政府官員發出的最新警報,CISA 在周末與奧地利、加拿大、紐西蘭和英國等國一起發出了警告。Goldstein說,CISA預計各種攻擊者都會利用這一漏洞,從加密者到勒索軟體集團,甚至更多。他說:“目前還沒有證據表明存在積極的供應鍊攻擊”。
Gazlay 說,企業需要“持續的努力”才能變得安全,即使在應用了 Apache 的更新檔之後,也需要勤奮更新。Gazlay 說:“沒有任何單一的行動可以解決這個問題”。如果認為任何人“在一兩個星期内就能解決這個問題”,那是一個錯誤。
![張國鋒:以匠心築牢網絡安全防線[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)