• 發布單位:TWCERT/CC
• 更新日期:2021-12-15
• 點閱次數:692

由於 Apach Log4j Java 程式庫 0–day 漏洞造成的影響十分巨大且嚴重，美國資安主管機關發出命令，要求美國聯邦政府各單位，限期於 12 月 24 日前修復完成。

由於 Apach Log4j Java 程式庫 0-day 漏洞 CVE-2021-44228 造成的影響十分巨大且嚴重，美國資安主管機關「資安暨關鍵基礎設施安全局」（Cybersecurity and Infrastructure Security Agency, CISA）日前發出命令，要求美國聯邦政府各單位，務必立即測試並處理該漏洞，限期於 12 月 24 日前必須修復完成。

CISA 除了發出限期更新命令外，也發布對應 Apache Log4j 漏洞的處理修復指南；指南中詳細說明了 Log4j 的問題、攻擊弱點、測試方式與更新手續，以供美國公私營單位參考辦理。

CISA 也表示，目前正在加緊列出所有可能存有 Log4j 漏洞的主要軟體供應商及其受影響產品，並將會在上述漏洞處理修復指南的網頁中，詳細列出所有其受影響產品、服務，以及其可更新的資訊。

目前 CISA 在 GitHub 上維護一個名為「CISA Log4j (CVE-2021-44228) 漏洞指南」的專案頁面，其中已經列出大量存有此漏洞的重要軟體產品與服務，其中包括許多廣泛使用的知名雲端服務與軟體產品，例如 Akamai SIEM Splunk Connector、Amazon OpenSearch、Amazon EC2、Atlassian Jira Server & Data Center、Broadcom Symantech IT Management Suite、Checkpoint CloudGuard、Cisco Duo、Cisco BroadWorks、ElasticSearch 所有產品、以及 Fortinet、Sophos、McAfee、TrendMirco、VMware 等多種雲端服務在內。

另一方面，資安廠商 Check Point 指出，該公司觀察到駭侵者利用 Log4j 漏洞發動的攻擊頻率，正在以驚人的速度快速增加。據該公司的資料，在 12 月 10 日當天，也就是在漏洞公開之初，約觀測到數千起試圖鎖定 Log4j 漏洞的攻擊活動，漏洞公開後 24 小時則上升到近 20 萬次攻擊，在 72 小時後更增加到 83 萬次以上，可見 Log4j 對全球資安的巨大威脅。