据美国《华尔街日报》网站报道,人们广泛使用的网络软件中存在一种名为Log4j的漏洞,令企业和政府官员竞相应对全球计算机网络面临的重大网络安全威胁。
安全专家说,近日披露的这个漏洞可能引发跨越经济部门和国际边境的破坏性网络攻击。
美国官员称,数亿台设备面临风险,而研究人员和大型技术公司警告称,与外国政府和勒索软件组织有关联的黑客已经在探索如何利用目标计算机系统中的这一漏洞。
以下是人们对Log4j漏洞的了解:
Log4j是什么?
软件开发人员利用Log4j框架记录用户操作和应用程序行为以供后续审查。Log4j由非营利的阿帕奇软件基金会免费提供,已被下载数百万次,是一种从企业计算机网络、网站和应用程序中收集信息的广泛使用工具。该软件由阿帕奇的志愿者维护,其中5人为发布安全更新,最近几天一直在昼夜不停地工作。
黑客如何利用Log4j漏洞?
阿帕奇上周披露的Log4j漏洞让攻击者能在目标计算机上远程执行代码,这意味着他们可以窃取数据、安装恶意软件或者实施控制。一些网络犯罪分子安装利用网络系统开采加密币的软件,还有一些人开发了恶意软件,让攻击者能够劫持计算机,对互联网基础设施发动大规模攻击。
安全专家尤其担心,该漏洞可能会让黑客得以在系统内安装勒索软件,即一种可以锁定数据和系统的计算机病毒,让受害者向攻击者支付赎金。“芬-安全”软件公司表示,其分析人员观察到,已经有人通过该漏洞部署各种形式的勒索软件和恶意软件。
Log4j漏洞有多普遍?
该漏洞可能存在于面向互联网的系统和后端系统。Log4j软件广泛应用于商业软件开发。科技孵化器CTM洞察公司创始人卢·斯坦伯格说:“可能有数以百万计的服务器面临风险。”
哪些技术供应商受Log4j漏洞影响?
很多,而且名单还在不断增加。其中包括苹果公司、亚马逊公司、云网络安全服务公司、国际商用机器公司(IBM)、微软旗下“我的世界”、帕洛阿尔托网络公司和推特公司。多家技术企业已经向客户发出警告,并就如何降低风险发布了指导。
企业如何修复Log4j问题?
美国网络安全与基础设施安全局建议,立即查明哪些面向互联网的设备有Log4j,确保安全团队及时处理与这些设备相关的警报。另外,安装有自动更新规则的web应用程序防火墙,减少安全团队收到的警报。