美國政府委員會發現：Log4j重大網絡漏洞將長期存在，成為"地方性"風險——《華爾街日報》

華盛頓——美國政府的一項審查得出結論，去年在一個廣泛使用的軟件中檢測到的一個重大網絡安全漏洞是一個“長期存在的漏洞”，可能會持續十多年，成為黑客滲透計算機網絡的途徑。

根據週四發佈的總結審查結果的報告，這個在名為Log4j的常見代碼版本中發現的漏洞，其影響比最初擔心的要小。

報告稱：“Log4j事件尚未結束。委員會評估Log4j是一個‘長期存在的漏洞’，易受攻擊的Log4j實例將在系統中存留多年，可能十年或更長時間。仍然存在重大風險。”

這些發現是網絡安全審查委員會首次發佈的此類報告，該委員會由來自多個政府機構和私營部門的專家組成，幷包括企業防範Log4j威脅的建議。該委員會隸屬於國土安全部，今年早些時候成立，旨在審查重大網絡安全事件。其模式類似於調查火車脱軌和飛機墜毀的國家運輸安全委員會。預計該委員會將定期審查國家重大網絡安全事件，併發布公開調查結果和建議。

網絡安全審查委員會主席羅布·西爾弗斯。圖片來源：本傑明·阿普爾鮑姆/國土安全部董事會還認定，沒有證據表明在阿里巴巴集團控股有限公司的研究人員公開披露該漏洞之前，有任何黑客利用了該漏洞。阿里巴巴集團的研究人員向維護Log4j的軟件基金會發出了警報。但專家組警告稱，未來可能會發生黑客攻擊。

美國國土安全部網絡安全審查委員會表示，存在漏洞的Log4j實例將在未來許多年（可能十年或更長時間）內繼續存在於系統中。圖片來源：Ting Shen for The Wall Street Journal據中國官方媒體當時報道，中國負責技術的部門因披露處理問題暫停了與阿里巴巴雲計算部門的網絡安全合作。阿里巴巴雲計算部門。委員會表示，曾就阿里巴巴受罰一事詢問中國但未獲答覆，並對中國要求企業向政府披露漏洞的法律表示擔憂。委員會稱，這種制度可能被中國國家支持的黑客濫用，他們能率先知曉漏洞並在補丁發佈前加以利用。

報告稱：“考慮到（中國）政府在知識產權盜竊、情報收集、監視人權活動人士和異見人士以及軍事網絡行動方面的不良記錄，這一前景令人不安。”

中國一貫否認西方關於其從事惡意網絡活動的指控。

聯繫 達斯汀·沃爾茲，郵箱：[email protected]

刊登於2022年7月15日印刷版，標題為《Log4j網絡漏洞存在"地方性"風險》。