安全|CISA主管：Log4j漏洞影响巨大安全业面临一场持久战 CISA主管：Log4j漏洞影响巨大|安

美国网络安全与基础设施安全局（CISA）高级官员周一表示，安全专业人员将在很长一段时间内，与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复，一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞，将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞，接管受害计算机和服务器，进而使消费电子产品和政企系统全面沦陷。

文章图片

（截图 via NIST）
在周一的电话会议期间，CISA 主任 Jen Easterly 向采访人员透露：尽管还有许多攻击未见诸报端，但目前尚未有任何美国联邦机构受到 Log4j 漏洞、以及重大网络攻击的损害。

该漏洞波及数以千万计的互联网联网设备，影响范围之广，使之成为 CISA 史上最糟糕的一次经历。
此外攻击者可能正在等待一个大家都感到懈怠的时机，从而让 Log4Shell 能够在未来更好地用于入侵。

文章图片

（截图 via CISA）
Jen Easterly 还援引了 2017 年发生的 Equifax 数据泄露事件，其同样归咎于开源软件中的一个漏洞，最终导致近 1.5 亿美国人的个人信息泄露。
截至目前，大多数漏洞利用仍集中在较低级的加密货币挖矿、或尝试将受害设备拖入僵尸网络。最先曝出的，就是微软旗下的《我的世界》游戏服务器。
【安全|CISA主管：Log4j漏洞影响巨大安全业面临一场持久战】与此同时，世界各地也发生了类似的大规模攻击。比如上月，比利时国防部就证实，其系统也因 Log4j 安全漏洞而遭到了破坏。