#
美国网路安全审查委员会(Cyber Safety Review Board)报告指出,Log4Shell(CVE-2021-44228)漏洞将成为“地方流行病”,对企业系统的影响可能长达10年以上。
美国总统拜登今年发布行政命令成立的网路安全审查委员会(Cyber Safety Review Board,CSRB)于上周四(7/14)发布第一份报告,根据针对80家组织及业者的调查结果,说明去年12月揭露的Apache Log4j漏洞的实际影响和未来的威胁。
去年Apache 基金会紧急修补的Log4Shell(CVE-2021-44228),是安全风险达10.0的远端程式码执行(RCE)漏洞,被安全专家视为近10年最严重漏洞。Log4Shell漏洞不易修补,衍生出新漏洞,Apache专案组织还多次释出新版本解决。由于Log4j广泛用于许多软件及云端平台,包括微软Minecraft、Amazon、Google、IBM等都受影响,因而也引发全球安全研究人员及企业IT管理员的重视。
报告指出,目前委员会尚未发现对关键基础架构系统有Log4j相关的重大攻击。一般而言,Log4j漏洞开采发生在比专家预期更低层。但由于鲜少权威性资料源,目前还难以判断它在地理区、产业别或不同生态体系的影响范围。
不过可以确定的是,Log4Shell事件还没有结束。委员会评估Log4j漏洞将成为“地方流行病”(endemic)漏洞,而未来几年间,受其影响的问题执行个体将持续存在企业组织系统内,甚至要到10年或更久。原因之一是,用户或软件开发商并不知道自己使用的软件套件内有Log4j,或是其专案有很高的相依性。
然而企业组织仍然苦于无法回应漏洞开采事件,而企业升级漏洞系统的工作距离完成也还有一长段距离,尤其是开源软件界通常欠缺资源实行程式码的安全开发。包括Maven Java套件、Java SQL资料库H2等开源软件都被发现有Log4j漏洞。
基于CSRB的政府角色,关于Log4j漏洞,CSRB给出4项建议。首先是持续提高警觉Log4j的漏洞风险、通报Log4j漏洞开采行动,而美国网路安全主管机关CISA也会强化提供统一网路安全资讯的能力。
其次是推动安全最佳典范,像是建立IT资产管理作业、发展漏洞回应、揭露、处理流程、强化辨识有漏洞系统的能力、与建立安全软件开发典范。第三是推动整个软件生态系的漏洞管理,特别是对开源软件社群的协助。最后是著重美国政府单位使用的软件安全性,包括政府软件供应商透明度、及强化辨识有已知漏洞的软件等。
#
查看报告完整版请后台留言“报告”即可获得
