網路紅色警戒 Log4j嚴重漏洞
科技產業資訊室 (iKnow) - May 發表於 2021年12月14日
圖、德國BSI發布網路紅色警告Java Log4j嚴重漏洞
Apache Log4j或Java Log4j遠端程式碼執行(RCE)漏洞,成為10年來最大且最嚴重的單一漏洞。發現廣泛使用Apache Log4j的軟體程式庫的漏洞,成為駭客的新目標,迫使網路安全機構急於補破網。由於,Log4j軟體庫受到許多公司內嵌使用開發者遠端程式追蹤其應用程式,將成為駭客攻擊目標。
美國政府10日對私人企業警告Log4j漏洞及其可能造成的風險。國土安全部旗下網路安全和基礎設施安全局(CISA)局長表示,這是多年來看過最重大的漏洞之一,敦促各公司讓員工在假日上班或平日遠端上班,應該留意對付該漏洞。安全專家表示,雖然Apache已於12月10日釋出修補程式,受影響的公司和網路安全組織仍需找出脆弱的軟體,確實執行修補程式。
隨之,德國聯邦網路安全監管單位BSI於12月12日發布了嚴重漏洞的紅色安全警告,關於Java軟體庫的紀錄工具Log4j中存在一個漏洞,為警示的最高等級。BSI稱該漏洞已經對網路伺服器構成了「極度嚴重的威脅」。特別是 BSI 注意到該漏洞導致安全威脅級別立即升高,考慮到Log4j的使用非常廣泛,該漏洞可以容易被利用,並利用漏洞允許完全接管受影響的系統。此外,雖然目前無法確定威脅情況的全部範圍,但BSI敦促公司和組織實施紅色安全警告的對策,應在短期內提高檢測和反應能力以適當監控系統,應盡可能更新個別產品,並應檢查系統是否受到損害。
該漏洞影響範圍為全球性,數以百萬個軟體都受影響,因為它們都使用Log4j日誌庫記錄程式,駭客可以讓軟體程式接受特殊指令。事實上,目前正處於處理階段,能否盡快完全解決取決於公司關閉漏洞的速度。
CISA 敦促組織查看其Apache Log4j 漏洞指南網頁併升級到 Log4j 版本 2.15.0,或立即應用適當的供應商推薦的緩解措施。(360字;圖1)
參考資料:
Germany: BSI issues red security warning concerning critical vulnerability in Log4j Java library. DataGuildance, 2021/12/13.
CISA Creates Webpage for Apache Log4j Vulnerability CVE-2021-44228. CISA, 2021/12/13.
相關文章:
1. 微軟利用訴訟接管51個中國駭客組織網站
2. 美國FBI警告利用加密ATM及QR code進行詐騙
3. FBI:勒索軟體組織正利用IPO及併購等事件作為槓桿
4. 微軟表示駭客攻擊正鎖定全球科技供應鏈
5. 勒索軟體衍生Linux、FreeBSD版本進行攻擊
6. 11家廠商SoC產品的藍牙堆疊含嚴重資安漏洞
--------------------------------------------------------------------------------------------------------------------------------------------
【聲明】
1.科技產業資訊室刊載此文不代表同意其說法或描述,僅為提供更多訊息,也不構成任何投資建議。
2.著作權所有,非經本網站書面授權同意不得將本文以任何形式修改、複製、儲存、傳播或轉載,本中心保留一切法律追訴權利。
|