伺服器爆资安漏洞 全球补破网
-
网路安全研究人员表示,伺服器软体「Log4j」藏有程式漏洞,是近年来发现的一个最大资安风险。(路透)(photo:UDN)世界各地的政府与企业上周末赶紧採取紧急行动,修补一个可能引发骇客大举入侵的网路漏洞。资安专家警告,广为使用的伺服器软体「Log4j」内含严重缺陷,恐让骇客有机可乘,发动大规模网路攻击。
华尔街日报报导,网路安全研究人员表示,这伺服器软体「Log4j」藏有一个不起眼的程式漏洞,是近年来发现的一个最大资安风险,因为这个软体在企业网路中被广泛使用。
网路安全业者Fortress公司的安全解决方案副总裁特纳表示,「这可能是当今网路上最普及的软体元件之一」,这个易遭受攻击的漏洞,会冲击到各个层面,从游戏系统、消费者平台到关键的基础设施,以及国防部等。
美国国土安全部辖下网路安全及基础设施安全局(CISA)11日对此弱点发布一项紧急警示,并唿吁各大企业採取行动。CISA局长伊斯特利(Jen Easterly)表示:「明确来说,这个漏洞构成严重风险,唯有透过公私部门的合作,才能将潜在冲击降至最低。」德国网路安全组织上周末对该程式漏洞发出「红色警报」。澳洲当局也说这个问题很「严重」。
网路安全专家警告说,可能要花数周或更久的时间来评估损害程度,而骇客可以利用这个漏洞来存取网路上的敏感资料,并且植入「后门」,即便这个有缺陷的软体已被修复,他们仍可利用后门来侵入伺服器。
微软向客户示警:「网路攻击者正在探测所有端点的弱点。」亚马逊、推特、思科(Cisco)等公司纷纷表示,他们正在调查这个问题的严重程度。
研究人员指出,由于「Log4j」不收费,已广为流通,迄今已被下载数百万次,目前还不清楚有多少伺服器受到这个漏洞的影响。IBM旗下红帽(Red Hat)、甲骨文、VMware等软体供应商的产品都包含「Log4j」,这些公司均表示,正在部署修补程式。
