CISA警告Log4j的破坏力数以亿计的设备受到影响即使不是她整个职业生涯中最严重的漏洞之一。她说:“我们预计这个漏洞将被老练的参与者广泛利用,我们只有有限的时间采取必要措施来减少损害的可能性。”“这个问题是一个未经身份验证的远程执行漏洞,可能允许入侵或接管受影响的设备”。CISA漏洞管理办公室的JayGazlay在与关键基础设施所有者和运营商的电话会议中表示,数亿台设备将受到影响。CISA是国土安全部的一个组成部分,最快将于周二推出一个专门的网站,以提供信息并打击“侵略性虚假信息”。该机构负责网络安全的执行助理主任埃里克戈德斯坦表示,该漏洞将“允许远程攻击者轻松控制他们所利用的系统”。行业简报是来自世界各地政府官员的最新警告,CISA在周末加入了奥地利、加拿大、新西兰和英国的警告行列。CISA预计各种攻击者都会利用此漏洞,从加密器到勒索软件组等等,Goldstein说。“目前没有证据表明存在活跃的供应链攻击,”他说。Gazlay表示,企业需要“持续努力”才能变得安全,即使在应用Apache的补丁后,也需要努力更新。“没有任何单一的行动可以解决这个问题,”加兹莱说。认为任何人“都能在一两周内解决这个问题”的想法是错误的。
