美國網路安全審查委員會(Cyber Safety Review Board, CSRB)由國防與情報單位、Google、Microsoft及多家資安廠商之代表組成,7月14日發布長達40頁之報告,說明Log4j漏洞已成為「流行性感冒」,對於企業與組織之影響可能會超過10年以上。
該報告重點為Log4j漏洞已遍布於全世界網路,且無法完全抑制。Log4j為2012年以來常用之Java日誌記錄軟體工具,並內嵌於數百萬個套件內,其漏洞首次發現於2021年12月,雖已透過簡單更新進行修補,惟無法更新所有已安裝之軟體,一旦駭客發現漏洞,即可發送簡易之程式碼進行攻擊。好消息為至目前為止,尚未有利用Log4j漏洞成功攻擊關鍵基礎設施之案例。
網路安全審查委員會於報告提出4大建議,首先是解決Log4j漏洞之持續性風險,提高警覺並隨時通報漏洞;其次為推動資安最佳實作,如採用業界最新標準、建立IT資產管理及完善漏洞回報機制等;第三為建立更好之軟體生態系,如培訓開發人員進行安全軟體開發,或維護開源軟體與增加其安全性等;最後建議未來設立網路安全通報系統或軟體安全評估風險中心,甚至由政府統籌工作小組負責加強已知漏洞之確認。
https://www.cpomagazine.com/cyber-security/new-cyber-safety-review-board-report-log4j-vulnerability-is-endemic-expect-it-to-be-exploited-into-the-2030s/
https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf