在首次发现所谓的Log4j软件漏洞一个多月后,美国网络安全官员仍在对此发出警报,警告说一些犯罪分子和国家的对手可能正在等待对他们新发现的对关键系统的访问权限加以利用。
美国国土安全部的网络安全和基础设施安全局 (CISA) 周一表示,这个也称为Log4shell的安全漏洞在过去几周内一直被犯罪分子广泛利用,但更严重和更具破坏性的攻击可能仍在筹划中。
“我们确实预计Log4Shell将在今后被用于入侵,”网络安全和基础设施安全局的局长伊斯特利(Jen Easterly)在一次电话简报中对媒体说。她补充说,“目前我们还没有看到Log4shell的使用导致重大入侵。”
“这可能是这种情况,因为老练的对手已经使用这个漏洞来利用目标,并且正在等待利用他们的新访问准入,直到网络防御者处于较低警戒状态,”她说。
由美国阿帕奇软件基金会生产的开源软件中的这个漏洞是由中国科技巨头阿里巴巴于11月下旬首次发现的。对公众的第一次警告于12月初发出。
网络安全官员和专家们最初将该软件中的漏洞描述为可能是有史以来发现的最严重的漏洞,并提到该软件的广泛使用——在全球私营公司和政府使用的至少2,800 种产品中。
网络安全和基础设施安全局周一表示,该漏洞已影响全球数亿台设备,许多软件供应商竞相向其客户发布安全补丁。
到目前为止,美国的机构看来毫发无损。
网络安全和基础设施安全局网络安全执行助理局长戈德斯坦(Eric Goldstein)对媒体说:“目前,我们没有看到整个国家的联邦机构有任何确认受到影响的情况,包括关键的基础设施。”
但他告诫说,尽管老练的黑客组织和外国对手没有发起破坏性的攻击,但危险尚未过去。
“这种情况当然有可能发生变化,对手可能会利用这个漏洞来获得他们将来可以使用的持久访问权限,这就是为什么我们如此专注于在全国范围内修复漏洞并确保当任何入侵发生时我们能够检测到,”他说。
然而,有报道称,其他国家已经成为试图利用该软件漏洞的网络攻击者的目标。
比利时国防部上个月表示,其部分计算机系统上个月在遭到一次攻击后瘫痪,据信其中的Log4j漏洞被利用。
一些安全专家警告说,包括中国、伊朗、朝鲜和土耳其在内的其他国家也试图利用Log4j。
微软的威胁情报中心上周在一篇博文中写道:“这种活动的范围从开发期间的实验、漏洞集成到野外有效载荷部署,并针对目标的利用来实现操作者的目的。”
微软特别表示,以发起勒索软件攻击而闻名的伊朗网络威胁组织Phosphorus已经修改了Log4j 漏洞以用于攻击,而名为Hafnium的中国组织也使用它进行一些有针对性的活动。
私营网络安全公司群击(CrowdStrike)的评估称,一家位于中国的、名为“水生熊猫“(Aquatic Panda)的组织试图利用Log4j 漏洞攻击一家未具名的学术机构。
网络安全和基础设施安全局周一表示无法独立确认此类报告,并进一步表示尚未发现攻击者使用Log4j 漏洞进入受害者系统的任何勒索软件袭击。
该机构的主管表示,一个原因可能是“在这个漏洞被使用和它被积极部署之间可能存在延迟。”
伊斯特利还警告说,由于国会未能通过要求私营公司报告网络攻击的立法,美国官员无法看到信息。白宫和许多议员一段时间以来一直在倡导这样的立法。
她说:“我们担心威胁行为者将开始利用这一漏洞,特别是对关键基础设施产生影响,而且由于没有立法,我们可能不会知道这一点。”