美國政府發布有關Log4j漏洞相關調查報告

美國網路安全審查委員會（Cyber Safety Review Board）報告指出，Log4Shell（CVE-2021-44228）漏洞將成為“地方流行病”，對企業系統的影響可能長達10年以上。

美國總統拜登今年發布行政命令成立的網路安全審查委員會（Cyber Safety Review Board，CSRB）于上周四（7/14）發布第一份報告，根據針對80家組織及業者的調查結果，說明去年12月揭露的Apache Log4j漏洞的實際影響和未來的威脅。

去年Apache 基金會緊急修補的Log4Shell（CVE-2021-44228），是安全風險達10.0的遠端程式碼執行（RCE）漏洞，被安全專家視為近10年最嚴重漏洞。Log4Shell漏洞不易修補，衍生出新漏洞，Apache專案組織還多次釋出新版本解決。由于Log4j廣泛用于許多軟件及云端平臺，包括微軟Minecraft、Amazon、Google、IBM等都受影響，因而也引發全球安全研究人員及企業IT管理員的重視。

  報告指出，目前委員會尚未發現對關鍵基礎架構系統有Log4j相關的重大攻擊。一般而言，Log4j漏洞開采發生在比專家預期更低層。但由于鮮少權威性資料源，目前還難以判斷它在地理區、產業別或不同生態體系的影響范圍。

不過可以確定的是，Log4Shell事件還沒有結束。委員會評估Log4j漏洞將成為“地方流行病”（endemic）漏洞，而未來幾年間，受其影響的問題執行個體將持續存在企業組織系統內，甚至要到10年或更久。原因之一是，用戶或軟件開發商并不知道自己使用的軟件套件內有Log4j，或是其專案有很高的相依性。

  然而企業組織仍然苦于無法回應漏洞開采事件，而企業升級漏洞系統的工作距離完成也還有一長段距離，尤其是開源軟件界通常欠缺資源實行程式碼的安全開發。包括Maven Java套件、Java SQL資料庫H2等開源軟件都被發現有Log4j漏洞。

基于CSRB的政府角色，關于Log4j漏洞，CSRB給出4項建議。首先是持續提高警覺Log4j的漏洞風險、通報Log4j漏洞開采行動，而美國網路安全主管機關CISA也會強化提供統一網路安全資訊的能力。

其次是推動安全最佳典范，像是建立IT資產管理作業、發展漏洞回應、揭露、處理流程、強化辨識有漏洞系統的能力、與建立安全軟件開發典范。第三是推動整個軟件生態系的漏洞管理，特別是對開源軟件社群的協助。最后是著重美國政府單位使用的軟件安全性，包括政府軟件供應商透明度、及強化辨識有已知漏洞的軟件等。