美国网络安全和基础设施安全局(CISA)已向联邦机构发出警告,敦促他们在圣诞节前夕修补受Log4Shell漏洞影响的系统。昨天,该机构在其“主动利用目录”中添加了CVE-2021-44228和其他12个安全漏洞。基于此,相关联邦机构将有十天时间测试哪些内部应用程序/服务器使用了Log4jJava库,检查系统是否容易受到Log4Shell攻击,并及时为受影响的服务器打上补丁。根据目录时间表,上述工作需要在12月24日前完成。此外,CISA昨天提出了一个专门的网页,旨在为美国公共和私营部门提供缓解Log4Shell漏洞的指导。该机构计划在此页面上列出所有易受Log4Shell漏洞影响的软件供应商,以便每个人都能随时获得最新、最全面的补丁信息。虽然从上周开始厂商就发布了紧急补丁,但要等到正式集成到相关软件中显然还需要一些时间。虽然CISA工作人员仍在通过GitHub收集项目信息,但安全研究员RoyceWilliams已经编制了一份易受Log4Shell攻击的产品列表(涵盖300多家供应商),以及一份由该中心维护的荷兰国家目录编制的列表用于网络安全。至于引发这场风波的罪魁祸首,则源于Java库Log4j的一个bug。Log4j为许多Java桌面应用程序/服务器软件提供了日志创建和管理功能,但近乎无处不在的大规模漏洞利用将各个行业推向了相当危险的境地。另一件需要考虑的事情是,思科和Cloudflare都表示,他们在漏洞公开两周前首先看到了Log4Shell被利用的迹象——准确地说,第一次攻击发生在12月1日(不是上周)——这意味着安全团队需要扩大对相关响应事件的调查。
