軟體漏洞威脅資安 數億裝備深陷風險

簡嘉佑 2021/12/14 13:12 點閱 1695 次
一個應用程式上的漏洞,竟影響各大科技公司,以致數億台裝置深陷資安風險。(Photo by Richard Patterson on Flickr under C.C. License)
一個應用程式上的漏洞,竟影響各大科技公司,以致數億台裝置深陷資安風險。(Photo by Richard Patterson on Flickr under C.C. License)

【台灣醒報記者簡嘉佑綜合報導】世界有數億個裝置正深陷軟體漏洞風險中!CISA(美國網路安全與基礎設備安全局)主任伊斯特利於12日指出,名為「Log4j」的程序中存在漏洞,導致各大科技企業,如Apple iCloud、Twitter 等,深陷被駭客入侵的風險,用戶恐遭個資外洩、軟體勒索等威脅。目前相關軟體基金會已發布修復補件,CISA也建設公共網站持續更新公布受到影響的產品。

數億裝置陷風險

CISA主任伊斯特利於12日指出,世界上有數億台設置正陷入軟體缺陷造成的資安危險中,並表示「這是我整個職涯中見過最嚴重的漏洞。」她更警告說,「預計該缺陷將被駭客廣泛應用,應儘快採取行動來降低損害。」

網路獨家》報導,該漏洞存在於名為「Log4j」的開源紀錄程序,許多大型科技企業都使用該軟體來記載程式碼的歷史紀錄。而駭客可以透過此軟體漏洞潛入電腦服務端,並延伸攻擊各大企業的網路服務,包括Apple iCloud、Cloudflare 和 Twitter 等企業。

CISA的執行助理主任戈德斯坦說,「該漏洞讓駭客可從遠端就掌握系統,並利用系統進行違法工作。」其他網路研究員表示,已經發現相關的駭客行為,如發送勒索軟體、嘗試盜竊私人數據、運用「殭屍網路」惡意生成加密貨幣等。

跟駭客比速度

儘管管理 「Log4j」 的基金會已緊急發布安全修復版供各大企業使用。但致力於網路安全公司的Cloudflare宣稱,駭客在CISA公開此紕漏的一個禮拜前,就已經在運用此漏洞進行攻擊。

而該軟體無處不在的狀況,迫使各大企業的網絡安全人員必須在周末加班檢查系統是否存在漏洞,試圖釐清自家的網路服務是否有受到危害。CISA也表示,將建立一個公共網站,提供哪些軟體產品受到該漏洞影響,並持續追蹤駭客利用該漏洞進行哪些新的攻勢。