互联网上普遍使用的软件存在漏洞 全球安全专家呼吁在灾难发生前修复漏洞

上周末，世界各地的企业和政府争先恐后地抵御网络攻击，这些攻击可能通过一个被广泛使用的互联网程序中的高危漏洞发起。安全专家警告说，该漏洞可能会让黑客全面访问目标对象的网络。

网络安全研究人员表示，该漏洞隐藏在名为Log4j的服务器软件中，是近年来发现的最大风险之一，因为该软件广泛用于企业网络。

据Log4j 的志愿者拉尔夫·高兹称，该漏洞已于上月底报告给Log4j开发团队。该团队是一群志愿者程序员，在Apache软件基金会框架下免费提供他们的软件。

该基金会是一个帮助监督许多开源软件开发的非营利组织，12月9日就该漏洞向用户社区发出了警告。

高兹说，“这是一个非常关键的问题。人们需要升级才能得到修复。” Log4j用于在服务器上保存用户活动的记录，以便软件开发或安全团队稍后对其进行审查。

高兹说，由于Log4j可供免费使用，目前尚不清楚有多少服务器受到该漏洞的影响，但该日志软件已被下载数百万次。

美国国土安全部的网络安全和基础设施安全局发布了有关该漏洞的紧急警报，并敦促各公司对此采取行动。

网络安全与基础设施安全局主任珍·伊斯特利说，“需要明确的是，这个漏洞构成了重大风险。我们只能通过政府和私营部门之间的合作努力，以减少潜在影响。”

上周末，德国网络安全组织发布了关于该漏洞的“红色警报”。澳大利亚称之为“关键问题”。

安全专家警告说，评估损坏程度可能需要数周或更长时间，利用该漏洞的黑客可以访问网络上的敏感数据并安装后门，即使在有缺陷的软件已经修补后，他们也可以使用这些后门访问服务器。

网络安全服务商Randori的科学家亚伦·博特尼说，“这是我这么长时间以来看到的最严重的漏洞之一。”

安全专家指出，许多公司都有其他可以防止恶意黑客运行程序并闯入公司系统的流程，从而限制漏洞的影响。

微软在给客户的警报消息中说，“攻击者会扫描所有网络节点的漏洞。”亚马逊、推特和思科系统等公司表示，他们正在对这个问题进行自己的调查。

“我们正在积极监控这个问题，努力解决它，”全球最大的云计算公司亚马逊在安全警告中表示。

这不是开源软件第一次引发安全问题。2014年，OpenSSL中发现一个被称为“心脏出血”（Heartbleed）的漏洞，世界各地的互联网用户被敦促重置密码；OpenSSL是一个由志愿者设计的神秘但无处不在的网络程序。

研究人员表示，黑客早在周五就开始广泛利用Log4j中的漏洞，并访问了运行微软游戏“我的世界”的服务器。

很快，研究人员注意到大规模扫描并在线传播Log4j漏洞的尝试。在周五发布的一份报告中，微软建议一些“我的世界” 玩家升级他们的软件以修复漏洞。

在大约 24小时内，安全公司Check Point软件技术公司表示，它已经监测到超过10万次利用该漏洞的尝试，其中大约一半来自恶意网络攻击者。

该公司说，其余的尝试要么来自检查国家基础设施的政府，要么来自安全研究人员。

荷兰研究员卡兹·范科顿表示，他在苹果服务器中发现了一个漏洞，该漏洞可能让他有办法在苹果网络内运行代码。科顿说他立即向苹果报告了这个问题。

另一位研究人员表示，与安全公司Black Mirage合作的顾问能够检测到其他公司运行的系统中的漏洞，包括微软所有的推特和领英。

推特发言人上周五通过电子邮件表示，“我们的团队正在调查此事，但我们目前没有可供分享的细节。”领英发言人通过短信说，“虽然我们像许多公司的安全团队一样对此做出回应，但我们目前没有遇到任何活跃的问题。”

由于服务器会记录各种数据，从电子邮件地址到网页导航请求，这能让攻击者在企业网络深处的易受攻击的服务器上找到立足点。

正如独立安全顾问、Facebook前安全总监瑞安·麦吉汉所说，“一次成功的攻击就像在厚墙上打一个洞。攻击者永远无法确定事情最终会导向哪里。”

思科对公司150多种产品是否受Log4j漏洞影响进行了调查。公司发言人周六表示，迄今为止已发现3种产品存在风险，23种没有。