美国总统乔·拜登(JoeBiden)创建的一个新的网络安全小组表示,去年在一个无处不在的软件中发现的计算机漏洞是一个“地方性”问题,可能会在未来十年或更长时间内带来安全风险。
网络安全审查委员会(Cyber Safety Review Board)在周四的一份报告中表示,虽然没有迹象表明Log4j缺陷会导致任何重大网络攻击,但它仍将“在未来几年内被利用”
“Log4j是历史上最严重的软件漏洞之一,”董事会主席、国土安全部副部长Rob Silvers周三告诉记者。
Log4j漏洞于去年年底公开,使得基于互联网的攻击者能够轻松控制从工业控制系统到web服务器和消费电子产品的一切。该漏洞被利用的第一个明显迹象出现在微软旗下的一款极受欢迎的在线游戏Minecraft上。
该漏洞的发现引发了政府官员的紧急警告,以及网络安全专业人员的大规模努力,以修补易受攻击的系统。
董事会周四表示,Log4j漏洞的利用率低于专家预测的水平“有点令人惊讶”。该委员会还表示,它不知道对关键基础设施系统的任何“重大”Log4j攻击,但注意到一些网络攻击没有报告。
董事会表示,未来的攻击很可能在很大程度上是因为Log4j通常嵌入其他软件,组织很难在其系统中找到运行。
西尔弗斯说:“这项活动还没有结束。”。
用Java编程语言编写的Log4j记录了计算机上的用户活动。在开源Apache软件基金会的赞助下,由少数志愿者开发和维护,它在商业软件开发人员中非常受欢迎。
11月24日,中国科技巨头阿里巴巴(Alibaba)的一位安全研究员通知了该基金会。开发和发布修复程序花了两周时间。中国媒体报道称,政府因阿里巴巴没有提前向国家官员报告缺陷而对其进行处罚。
美联储委员会周四表示,它发现了中国政府漏洞披露政策中的“令人不安的因素”,称这可能让中国国家黑客尽早发现电脑漏洞,这些漏洞可能被用于窃取商业机密或刺探持不同政见者等邪恶手段。长期以来,中国政府一直否认在网络空间存在不当行为,并告诉董事会,它鼓励改进软件漏洞信息共享。
董事会就减轻Log4j缺陷的影响以及总体上改善网络安全提出了许多建议。这包括建议大学和社区学院将网络安全培训作为计算机科学学位和认证课程的必要部分。
网络安全审查委员会是仿效国家运输安全委员会(National Transportation Safety Board)建立的,该委员会负责审查飞机失事和其他重大事故,并由拜登去年5月签署的一项行政命令授权。该委员会由15名成员组成,由联邦调查局(FBI)、国家安全局(National Security Agency)和其他政府官员以及私营部门人士组成。新董事会的一些支持者批评国土安全部花了这么长时间才启动和运行。
拜登的行政命令指示委员会对俄罗斯大规模网络间谍活动SolarWinds进行首次审查。俄罗斯黑客能够破坏几个联邦机构,包括国土安全部高级网络安全官员的账户,但这场活动的全部后果仍不清楚。
Silvers表示,国土安全部和白宫一致认为,审查Log4j缺陷是更好地利用新董事会的专业知识和时间。
漏 2022年美联社。保留所有权利。未经许可,不得出版、广播、重写或重新分发本材料。