【大纪元2021年12月14日讯】(大纪元记者徐简综合报导)全球数亿台电脑或因某软件漏洞而被黑客攻击,美国国土安全部网络安全暨基础安全局(CISA)的负责人表示,这或是她职业生涯中见过的“最严重的(安全)漏洞”。
目前,一个波及全球、但是入侵门槛极低的软件漏洞正在引发互联网混乱,用户们正在急于修补,多国发出警告,而黑客们也在争先恐后地利用这一漏洞,其中以中共黑客尤为猖獗。
听新闻:
(听更多请至“听纪元”平台)
Log4J漏洞引发全球风险 多国发出警告
该漏洞称为Log4J,是用Java编程语言编写的,可帮助软件开发人员跟踪程序中的更改部分,这个代码被数百万提供在线服务的计算机使用,由于Log4j太普及,影响范围太广泛,短时间难以彻底解决,被业内称为“无处不在的零日漏洞”。
一些世界上最大的科技公司,如苹果、特斯拉等都使用该软件来记录应用程序的信息,目前亚马逊网络服务和IBM等科技巨头已采取行动解决漏洞。
上周五,美国政府向私营部门发出了关于Log4j漏洞的风险警告。新西兰计算机紧急响应小组(CERT)、德国电信CERT等也发出警告。
在本周一的电话会议上,美国国土安全部网络安全暨基础安全局(CISA)的主任伊斯特利(Jen Easterly)表示,这或是她职业生涯多年来见过的“最严重的漏洞”。她与企业高管举行了电话会议,警告黑客正在积极利用该漏洞。
路透社引用,网络安全公司SentinelOne的首席研究员Juan Andres Guerrero-Saade说,这个漏洞是“几乎没有办法应对的噩梦之一”。
虽然Log4j的制造商Apache上周五发布了对该漏洞的部分修复,但用户需要时间来定位易受攻击的软件和修补,而据网络安全公司Cloudflare说,黑客早在漏洞被公开披露之前一个多星期,就已经开始了进攻。
黑客入侵门槛低 影响范围广
该漏洞的缺陷是什么?它允许“陌生人”将活动代码输入到记录中保存。然后该代码告诉托管软件的服务器执行一个命令,让黑客控制。
黑客利用这个漏洞,有多么的轻而易举?安全公司Sonatype说,“就好像有人给你邮寄一封信,上面写个特定地址,就打开您家中所有的门。”
而Log4J被应用得如此广泛,Sonatype公司的安全专家Brian Fox说,在过去的四个月里,Log4J被从最大的开源Java组件公共存储库中下载了8,400万次。
迄今为止,尚未有该漏洞导致的重大破坏性网络事件被公开记录,但研究人员发现,企图利用该漏洞进行间谍活动的黑客组织数量,正在惊人地增加。
另一家安全公司Check Point表示,每分钟大约新增100次黑客攻击。该公司表示,它在全球超过 40%的企业网络上都看到黑客在企图利用该漏洞。
中共黑客利用漏洞进行破坏
该漏洞最早是中国的阿里巴巴员工在11月24日发现的,随后阿里向Apache报告Apache Log4j2远程代码执行漏洞,直到12月9日才公开了更多的细节。
随着玩《我的世界》(Minecraft)游戏的玩家使用这个漏洞来控制服务器,并在游戏聊天中传播这个信息,导致黑客攻击变得更加普遍。专家表示,多个僵尸网络,或由犯罪分子控制的计算机组,也在利用该漏洞来控制更多的软件。
路透社报导,许多专家担心,该漏洞或被黑客用于部署破坏加密数据的恶意软件,就像5月份针对美国管道运营商Colonial Pipeline遭到的攻击那样,导致美国局部地区出现汽油短缺。
专家告诉CNN,解决这些漏洞可能需要数周时间,但中共的黑客已经在企图破坏。网络安全公司Mandiant的高级副总裁兼首席技术官Charles Carmakal表示,有中共政府背景的黑客已经开始利用该漏洞,但Mandiant拒绝详细说明黑客针对的组织。
路透社报导,网络安全公司SentinelOne的首席研究员Juan Andres Guerrero-Saade表示,他的公司也已经看到中共黑客组织开始利用该漏洞。
责任编辑:林妍#
