在首次發現所謂的Log4j軟件漏洞一個多月後,美國網絡安全官員仍在對此發出警報,警告說一些犯罪分子和國家的對手可能正在等待對他們新發現的對關鍵系統的訪問權限加以利用。
美國國土安全部的網絡安全和基礎設施安全局 (CISA) 週一表示,這個也稱為Log4shell的安全漏洞在過去幾週內一直被犯罪分子廣泛利用,但更嚴重和更具破壞性的攻擊可能仍在籌劃中。
“我們確實預計Log4Shell將在今後被用於入侵,”網絡安全和基礎設施安全局的局長伊斯特利(Jen Easterly)在一次電話簡報中對媒體說。她補充說,“目前我們還沒有看到Log4shell的使用導致重大入侵。”
“這可能是這種情況,因為老練的對手已經使用這個漏洞來利用目標,並且正在等待利用他們的新訪問准入,直到網絡防御者處於較低警戒狀態,”她說。
由美國阿帕奇軟件基金會生產的開源軟件中的這個漏洞是由中國科技巨頭阿里巴巴於11月下旬首次發現的。對公眾的第一次警告於12月初發出。
網絡安全官員和專家們最初將該軟件中的漏洞描述為可能是有史以來發現的最嚴重的漏洞,並提到該軟件的廣泛使用——在全球私營公司和政府使用的至少2,800 種產品中。
網絡安全和基礎設施安全局週一表示,該漏洞已影響全球數億台設備,許多軟件供應商競相向其客戶發布安全補丁。
到目前為止,美國的機構看來毫髮無損。
網絡安全和基礎設施安全局網絡安全執行助理局長戈德斯坦(Eric Goldstein)對媒體說:“目前,我們沒有看到整個國家的聯邦機構有任何確認受到影響的情況,包括關鍵的基礎設施。”
但他告誡說,儘管老練的黑客組織和外國對手沒有發起破壞性的攻擊,但危險尚未過去。
美國國土安全部的網絡安全和基礎設施安全局 (CISA) 週一表示,這個也稱為Log4shell的安全漏洞在過去幾週內一直被犯罪分子廣泛利用,但更嚴重和更具破壞性的攻擊可能仍在籌劃中。
“我們確實預計Log4Shell將在今後被用於入侵,”網絡安全和基礎設施安全局的局長伊斯特利(Jen Easterly)在一次電話簡報中對媒體說。她補充說,“目前我們還沒有看到Log4shell的使用導致重大入侵。”
“這可能是這種情況,因為老練的對手已經使用這個漏洞來利用目標,並且正在等待利用他們的新訪問准入,直到網絡防御者處於較低警戒狀態,”她說。
由美國阿帕奇軟件基金會生產的開源軟件中的這個漏洞是由中國科技巨頭阿里巴巴於11月下旬首次發現的。對公眾的第一次警告於12月初發出。
網絡安全官員和專家們最初將該軟件中的漏洞描述為可能是有史以來發現的最嚴重的漏洞,並提到該軟件的廣泛使用——在全球私營公司和政府使用的至少2,800 種產品中。
網絡安全和基礎設施安全局週一表示,該漏洞已影響全球數億台設備,許多軟件供應商競相向其客戶發布安全補丁。
到目前為止,美國的機構看來毫髮無損。
網絡安全和基礎設施安全局網絡安全執行助理局長戈德斯坦(Eric Goldstein)對媒體說:“目前,我們沒有看到整個國家的聯邦機構有任何確認受到影響的情況,包括關鍵的基礎設施。”
但他告誡說,儘管老練的黑客組織和外國對手沒有發起破壞性的攻擊,但危險尚未過去。
