10年最大網絡漏洞 華府籲巨企急補鑊

網絡保安專家警告，一個在全球廣泛使用的軟件紀錄庫內新發現的漏洞正造成網絡大亂，黑客紛紛企圖鑽研其造成的漏洞，迫使各大企業急忙修補漏洞。美國政府亦向大企業發出警告，呼籲盡快處理。

此漏洞來自一個幫助軟件開發者追蹤其應用程式變更的開放原始碼產品Log4j，由於該產品相當受歡迎，許多程式都有內嵌。在最新發現的漏洞下，黑客可在軟件紀錄庫內輸入編碼，讓存放軟件的伺服器執行指令，讓黑客取得控制權。網絡保安公司Tenable總裁約倫(Amit Yoran)形容，這漏洞是過去10年來最大且最嚴重的單一漏洞。美國國土安全部旗下網絡安全與基礎設施安全局(CISA)局長伊斯特利(Jen Easterly)周一(13日)在視訊會議上向多家大型金融機構和衛生護理界高層警告，這是多年來她看過最重大的漏洞之一，敦促各公司對付。

美國有線新聞網絡(CNN)報道，黑客最遲在本月2日就已發現漏洞並加以利用，之後襲擊愈來愈廣泛。報道引述網絡保安公司Mandiant的高級副總裁兼首席技術官卡馬高(Charles Carmakal)稱，隸屬中國政府的黑客已開始利用此漏洞。路透社亦引述另一保安公司SentinelOne的首席威脅研究員格雷羅-薩德(Juan Andres Guerrero-Saade)稱，該公司已發現有中國黑客組織開始行動。兩人在報道中均沒提供確鑿證據。

安全專家表示，出品Log4j的Apache到上周五(10日)才局部釋出修補程式，但受影響的公司和保安專家仍需花時間找出有漏洞的軟件，然後執行修補程式。(路透社/CNN/中央社)