美国政府周五发布报告指出,Apache Log4j的漏洞将成为难以根绝的“地方流行病”,对企业系统的影响可能要拖上10年以上。
美国总统拜登今年发布行政命令成立的网络安全审查委员会(Cyber Safety Review Board,CSRB)于上周四(7/14)发布第一份报告,根据针对80家组织及企业的调查结果,说明去年12月披露的Apache Log4j漏洞的实际影响和未来的威胁。
去年Apache基金会紧急修补的Log4Shell(CVE-2021-44228),是安全风险达10.0的远程程序代码执行(RCE)漏洞,被安全专家视为近10年最严重漏洞。Log4Shell漏洞不易修补,衍生出新漏洞,Apache项目组织还多次发布新版本解决。由于Log4j广泛用于许多软件及云计算平台,包括微软Minecraft、Amazon、Google、IBM等都受影响,因而也引发全球安全研究人员及企业IT管理员的重视。
报告指出,目前委员会尚未发现对关键基础架构系统有Log4j相关的重大攻击。一般而言,Log4j漏洞开采发生在比专家预期得更低层。但由于鲜少权威性资料源,目前还难以判断它当地理区、产业别或不同生态体系的影响范围。
不过可以确定的是,Log4Shell事件还没有结束。委员会评估Log4j漏洞将成为“地方流行病”(endemic)漏洞,而未来几年间,受其影响的问题执行实例将持续存在企业组织系统内,甚至要到10年或更久。原因之一是,用户或软件开发商并不知道自己使用的软件组件内有Log4j,或是其项目有很高的依赖性。
然而企业组织仍然苦于无法回应漏洞开采事件,而企业升级漏洞系统的工作距离完成也还有一长段距离,尤其是开源软件界通常欠缺资源实行程序代码的安全开发,或是专家审核等。包括Maven Java组件、Java SQL数据库H2等开源软件都被发现有Log4j漏洞。
基于CSRB的政府角色,关于Log4j漏洞,CSRB给出4项建议。首先是持续提高警觉Log4j的漏洞风险、通报Log4j漏洞开采行动,而美国网络安全主管机关CISA也会强化提供统一网络安全资讯的能力。
其次是推动安全最佳典范,像是创建IT资产管理作业、发展漏洞回应、披露、处理流程、强化识别有漏洞系统的能力、与创建安全软件开发典范。第三是推动整个软件生态系统的漏洞管理,特别是对开源软件社群的协助。最后是着重美国政府单位使用的软件安全性,包括政府软件供应商透明度、及强化识别有已知漏洞的软件等。