黑客仍然針對過時軟件漏洞，儘管已有修復措施 - 彭博社

詹·伊斯特利，網絡安全和基礎設施安全局局長。

攝影師：亞倫·M·斯普雷徹/彭博社幾年前在Log4j軟件中發現的臭名昭著的軟件漏洞已成為數字版的流感：容易感染，令人煩惱且潛在危險。Log4j是一款開源軟件，用於收集和管理系統活動的信息。它是現代技術的一個構建塊，開發人員用它來跟蹤他們的軟件應用程序或在線服務中的發生情況，根據英國國家網絡安全中心的説法。

由於其易於使用、免費且有效，Log4j在全球數百萬個系統中被使用。

該漏洞嚴重到足以引發政府機構的多次警報，並且經過國土安全部的網絡安全審查委員會的長時間審查。

在2021年12月廣為人知後不久，美國網絡安全和基礎設施安全局局長詹·伊斯特利稱其為“我整個職業生涯中見過的最嚴重的漏洞之一，如果不是最嚴重的話。”

近三年後，攻擊者仍然利用開源軟件漏洞試圖侵入計算機系統，來自以色列網絡安全公司Check Point Software Technologies Ltd.的報告顯示。

Check Point的研究表明，在發現Log4j漏洞後的幾個月裏，略少於一半的客户受到該漏洞的攻擊。最近，這一數字已降至約三分之一。

Check Point Research的威脅情報組經理謝爾蓋·希凱維奇表示，黑客持續使用Log4j作為試圖妥協受害者的手段，表明“仍有很多組織沒有修補”這個問題。

為Log4j提供支持的非營利組織Apache軟件基金會沒有回應評論請求。

Check Point表示，它阻止了所有的攻擊嘗試。

希凱維奇表示，黑客經常試圖利用幾年前發現的軟件漏洞。但他説，Log4j的普遍性使得這一問題獨特而具有挑戰性。

評估Log4j漏洞造成的整體損害是困難的，網絡安全審查委員會指出，“很難確定一個權威來源來理解利用趨勢。”

然而，勒索軟件組織Conti在其日常操作中部署了Log4j漏洞，研究人員在2021年表示，而懷疑的伊朗黑客 在次年利用該漏洞對以色列進行攻擊，微軟報告稱。中國的攻擊者也被 報道正在利用Log4j漏洞。8月，Datadog安全實驗室 披露了一項Log4j活動，詐騙者利用該漏洞進行加密貨幣挖礦。

“這個漏洞造成的損害是顯著的，但我擔心我們並沒有完全理解其後果，”Datadog的首席信息安全官Emilio Escobar在一封電子郵件中説道。“這是因為像物聯網設備、家電和舊軟件服務這樣的東西，我們知道可能永遠不會被修補，也可能沒有被監控。”

Mandiant的漏洞和利用高級經理Jared Semrau表示，這家網絡安全公司自2022年以來沒有看到該漏洞的成功利用，但他説有很多證據表明黑客仍在嘗試。“這與利用成功的可能性大多數情況下無關，而更多與這種類型的利用風險低有關，”他在一封電子郵件中説道。

在2022年7月，網絡安全審查委員會得出結論，“Log4j已經成為一種‘地方性漏洞’，將在未來幾年內被利用。”

不幸的是，他們似乎是正確的。

我們本週學到了什麼

烏克蘭總統弗拉基米爾·澤連斯基。攝影師：Ting Shen/Bloomberg根據基輔一位知情官員的説法，烏克蘭黑客在週一發動了一次網絡攻擊，導致俄羅斯國家電視和廣播頻道的在線直播中斷。

至少有20家俄羅斯廣播公司受到此次黑客攻擊的影響，包括Rossiya 24新聞服務，該官員表示，因問題敏感要求匿名。彭博新聞無法獨立驗證這一説法。

廣播中斷恰逢俄羅斯總統弗拉基米爾·普京的72歲生日。— 奧列西婭·薩夫羅諾娃

我們正在閲讀的內容

• 美國官員表示 外國對手正在準備 引發對總統選舉有效性的懷疑。
• 虛假信息研究人員正在追蹤政治動機社交媒體賬户如何利用颶風季節來 製造關於投票過程的混亂。
• 俄羅斯軍方 博主正在抗議政府禁止 Discord 的舉措。
• MoneyGram表示黑客竊取了 客户的交易數據。
• 為數百萬人民提供飲用水的美國水務公司表示，攻擊者 入侵了其系統。
• 中央情報局局長威廉·伯恩斯 警告説錯誤判斷 可能引發伊朗與以色列之間的衝突。
• 入侵者 從ADT竊取了加密客户數據，該數據是在入侵商業夥伴後獲得的。
• 唐納德·特朗普表示絲綢之路創始人 應該從監獄中獲釋。

釣魚攻擊

不過，迪亞布羅醬不夠。

**有新聞線索嗎？**您可以通過 [email protected] 聯繫安迪·馬丁。您還可以使用我們的 SecureDrop 安全且匿名地發送文件。

更多來自彭博社

獲取每日科技資訊 和更多彭博科技週刊到您的郵箱：

• 遊戲進行中 瞭解視頻遊戲行業的動態
• 電力開啓 獲取蘋果新聞、消費科技新聞等
• 屏幕時間 瞭解好萊塢與硅谷的碰撞
• 聲音片段 報道播客、音樂產業和音頻趨勢
• 問與AI 解答您關於人工智能的所有問題