網路紅色警戒 Log4j嚴重漏洞

關鍵字：()；；；；；；

瀏覽次數：566｜歡迎推文：

科技產業資訊室 (iKnow) - May 發表於 2021年12月14日

圖、德國BSI發布網路紅色警告Java Log4j嚴重漏洞

Apache Log4j或Java Log4j遠端程式碼執行（RCE）漏洞，成為10年來最大且最嚴重的單一漏洞。發現廣泛使用Apache Log4j的軟體程式庫的漏洞，成為駭客的新目標，迫使網路安全機構急於補破網。由於，Log4j軟體庫受到許多公司內嵌使用開發者遠端程式追蹤其應用程式，將成為駭客攻擊目標。

美國政府10日對私人企業警告Log4j漏洞及其可能造成的風險。國土安全部旗下網路安全和基礎設施安全局（CISA）局長表示，這是多年來看過最重大的漏洞之一，敦促各公司讓員工在假日上班或平日遠端上班，應該留意對付該漏洞。安全專家表示，雖然Apache已於12月10日釋出修補程式，受影響的公司和網路安全組織仍需找出脆弱的軟體，確實執行修補程式。

隨之，德國聯邦網路安全監管單位BSI於12月12日發布了嚴重漏洞的紅色安全警告，關於Java軟體庫的紀錄工具Log4j中存在一個漏洞，為警示的最高等級。BSI稱該漏洞已經對網路伺服器構成了「極度嚴重的威脅」。特別是 BSI 注意到該漏洞導致安全威脅級別立即升高，考慮到Log4j的使用非常廣泛，該漏洞可以容易被利用，並利用漏洞允許完全接管受影響的系統。此外，雖然目前無法確定威脅情況的全部範圍，但BSI敦促公司和組織實施紅色安全警告的對策，應在短期內提高檢測和反應能力以適當監控系統，應盡可能更新個別產品，並應檢查系統是否受到損害。

該漏洞影響範圍為全球性，數以百萬個軟體都受影響，因為它們都使用Log4j日誌庫記錄程式，駭客可以讓軟體程式接受特殊指令。事實上，目前正處於處理階段，能否盡快完全解決取決於公司關閉漏洞的速度。

CISA 敦促組織查看其Apache Log4j 漏洞指南網頁併升級到 Log4j 版本 2.15.0，或立即應用適當的供應商推薦的緩解措施。(360字；圖1)

參考資料：
Germany: BSI issues red security warning concerning critical vulnerability in Log4j Java library. DataGuildance, 2021/12/13.
CISA Creates Webpage for Apache Log4j Vulnerability CVE-2021-44228. CISA, 2021/12/13.

相關文章：
1. 微軟利用訴訟接管51個中國駭客組織網站
2. 美國FBI警告利用加密ATM及QR code進行詐騙
3. FBI：勒索軟體組織正利用IPO及併購等事件作為槓桿
4. 微軟表示駭客攻擊正鎖定全球科技供應鏈
5. 勒索軟體衍生Linux、FreeBSD版本進行攻擊
6. 11家廠商SoC產品的藍牙堆疊含嚴重資安漏洞

歡迎來粉絲團按讚！

--------------------------------------------------------------------------------------------------------------------------------------------