軟體漏洞風暴擴大 專家提醒速更新

簡嘉佑 2021/12/16 15:43 點閱 2571 次
程序「Log4j」延伸的資安風暴愈滾愈大,連指紋驗證都可能遭到攻擊,民眾須緊跟科技公司的軟體更新訊息,確保產品的安全。(Photo on Pixabay under C.C. License)
程序「Log4j」延伸的資安風暴愈滾愈大,連指紋驗證都可能遭到攻擊,民眾須緊跟科技公司的軟體更新訊息,確保產品的安全。(Photo on Pixabay under C.C. License)

【台灣醒報記者簡嘉佑綜合報導】指紋驗證恐遭入侵!微軟14日點名中國、伊朗、土耳其與北韓正在利用最近Java軟體漏洞進行網路攻擊。目前各大科技公司雖已對此發佈相關安全更新與補丁,以供民眾強化網路安全,但專家憂心指出,那些缺乏IT相關資金的組織,如學校、醫院,更應受到關心。

指紋驗證也遭入侵

CNN》報導,微軟點名中國、伊朗、土耳其與北韓等地的駭客組織,正透過Java軟體上的漏洞進行實驗,結合現有的駭客技術,達成「針對性的攻擊」。網路安全公司 Mandiant 情報分析副總裁赫克奎斯特表示,「已經明確發現中國與伊朗正利用此資訊漏洞,預計其他國家的駭客組織也會這樣做。」

微軟舉例說,過去持續部署勒索軟體的伊朗駭客組織,已對漏洞進行修改;中國的網路威脅組織也已利用該漏洞,對網路上的虛擬設備進行破壞,並在與指紋檢驗相關的DNS服務上發現攻擊的痕跡。

網路獨家》報導,該漏洞存在於名為「Log4j」的開源紀錄程序,許多大型科技企業都使用該軟體來記載程式碼的歷史紀錄。而駭客可以透過此軟體漏洞潛入電腦服務端,並延伸攻擊各大企業的網路服務,包括Apple iCloud、Cloudflare 和 Twitter 等企業。

企業防駭第一線

CNN》指出,遊戲公司Minecraft於上週宣布在其遊戲中發現此漏洞,並迅速發佈了修復程序。其他科技公司,如IBM、甲骨文與Cloudflare也陸續採行相關措施,向客戶推送安全更新與補丁計劃。

因為防制駭客的壓力主要落於科技企業上,民眾現在能做的,就是追蹤科技公司有無發佈相關消息,並更新設備、軟體與應用程式。美國政府更提出警告,科技公司需要在聖誕假期特別警惕勒索軟體與網路攻擊等。

相比資源豐富的科技巨頭,許多資源相對稀少的組織卻沒有應對措施。網絡安全情報總監尼可拉斯說:「令人最擔心的是學校、醫院,以及那些沒有時間、預算聘請 IT 人員負責網路安全的組織。」