美國政府周五發布報告指出,Apache Log4j的漏洞將成為難以根絕的「地方流行病」,對企業系統的影響可能要拖上10年以上。

美國總統拜登今年發布行政命令成立的網路安全審查委員會(Cyber Safety Review Board,CSRB)於上周四(7/14)發布第一份報告,根據針對80家組織及業者的調查結果,說明去年12月揭露的Apache Log4j漏洞的實際影響和未來的威脅。

去年Apache 基金會緊急修補的Log4Shell(CVE-2021-44228),是安全風險達10.0的遠端程式碼執行(RCE)漏洞,被安全專家視為近10年最嚴重漏洞。Log4Shell漏洞不易修補,衍生出新漏洞,Apache專案組織還多次釋出新版本解決。由於Log4j廣泛用於許多軟體及雲端平臺,包括微軟Minecraft、Amazon、Google、IBM等都受影響,因而也引發全球安全研究人員及企業IT管理員的重視。

報告指出,目前委員會尚未發現對關鍵基礎架構系統有Log4j相關的重大攻擊。一般而言,Log4j漏洞開採發生在比專家預期得更低層。但由於鮮少權威性資料源,目前還難以判斷它在地理區、產業別或不同生態體系的影響範圍。

不過可以確定的是,Log4Shell事件還沒有結束。委員會評估Log4j漏洞將成為「地方流行病」(endemic)漏洞,而未來幾年間,受其影響的問題執行個體將持續存在企業組織系統內,甚至要到10年或更久。原因之一是,用戶或軟體開發商並不知道自己使用的軟體套件內有Log4j,或是其專案有很高的相依性。

然而企業組織仍然苦於無法回應漏洞開採事件,而企業升級漏洞系統的工作距離完成也還有一長段距離,尤其是開源軟體界通常欠缺資源實行程式碼的安全開發,或是專家稽核等。包括Maven Java套件Java SQL資料庫H2等開源軟體都被發現有Log4j漏洞。

基於CSRB的政府角色,關於Log4j漏洞,CSRB給出4項建議。首先是持續提高警覺Log4j的漏洞風險、通報Log4j漏洞開採行動,而美國網路安全主管機關CISA也會強化提供統一網路安全資訊的能力。

其次是推動安全最佳典範,像是建立IT資產管理作業、發展漏洞回應、揭露、處理流程、強化辨識有漏洞系統的能力、與建立安全軟體開發典範。第三是推動整個軟體生態系的漏洞管理,特別是對開源軟體社群的協助。最後是著重美國政府單位使用的軟體安全性,包括政府軟體供應商透明度、及強化辨識有已知漏洞的軟體等。

 相關報導 


熱門新聞

Advertisement