全球数亿台设备可能面临新披露的漏洞

全球数以亿计的设备可能会面临新披露的漏洞。

随着主要科技公司努力遏制事件的影响，美国官员已与行业高管通电话，警告黑客正在积极利用该漏洞。

美国网络安全和基础设施安全局 (CISA) 局长 Jane Easterly 在与 CNN 分享的电话中说。

主要金融公司和医疗保健高管参加了电话简报会。

伊斯特利说：“我们预计该漏洞将被老练的行为者广泛利用，我们采取措施减少破坏性事件的可能性的时间有限。”

CNN 已联系 CISA 征求意见。 科技新闻网站 Cyber​​Scoop 首次报道了通话内容。

这是自上周晚些时候有消息称黑客正利用它试图闯入公司计算机网络以来，美国官员就软件缺陷发出的最强烈警告。

这也是对联邦官员在去年发现 SolarWinds 和 Microsoft 软件被广泛利用的漏洞后与行业高管合作创建的新渠道的测试。

专家告诉 CNN，解决这些漏洞可能需要数周时间，而且疑似中国黑客已经在试图利用这些漏洞。

该漏洞存在于名为“Log4j”的基于 Java 的软件中，大型组织（包括一些世界上最大的技术公司）使用该软件将信息记录到其应用程序中。 亚马逊网络服务和 IBM 等科技巨头已采取行动解决其产品中的错误。

它为黑客提供了一种相对简单的方法来访问组织的计算机服务器。 从那里，攻击者可以设计其他方法来访问组织网络上的系统。

运行 Log4j 程序的 Apache 软件基金会已为其应用程序发布了安全修复程序。

与时间赛跑修复缺陷。

但据网络安全公司 Cloudflare 称，攻击者在该软件缺陷被公开披露之前已经领先了一个多星期。

组织现在正在与时间赛跑，以查看他们的计算机是否运行已暴露在 Internet 上的易受攻击的软件。 政府和行业的网络安全经理正在夜以继日地解决这个问题。

CISA 的另一位官员杰伊·加斯莱 (Jay Gaslay) 在电话中说：“我们将必须确保我们不断努力，以了解整个美国关键基础设施中该代码的风险。”

网络安全公司 Mandiant 的高级副总裁兼首席技术官 Charles Carmackal 表示，与中国政府有关联的黑客已经开始利用该漏洞。 Mandiant 拒绝透露黑客针对的组织。

“随着时间的推移，每个人都可以武装这该死的东西，”Mandiant 首席执行官凯文·曼迪亚 (Kevin Mandia) 告诉美国有线电视新闻网，并引用了这个漏洞。

“这就是问题所在。有可能有伟大的海盗躲在不太大的噪音中。”

噪音是一个真正的问题。 对于网络安全专业人士来说，Twitter 一直在不断地产生有用的信息，在某些情况下，还会产生与漏洞无关的错误信息。

为了解决这个问题，CISA 表示将创建一个公共网站，提供有关受该漏洞影响的软件产品的信息，以及黑客用来利用它的技术。

CISA 网络安全副执行董事埃里克·戈德斯坦 (Eric Goldstein) 在电话中表示：“随着新参与者利用该漏洞，这将是一个为期数周的过程。”

该计划的传播迫使全国的网络安全专业人士花一个周末检查他们的系统是否存在风险。

“对于大多数 IT 世界来说，从来没有周末，”网络安全公司 Digital Shadows 的首席信息安全官 Rick Holland 告诉 CNN。

“这只是又一段漫长的日子。”