美国政府发布有关Log4j漏洞相关调查报告

美国网路安全审查委员会（Cyber Safety Review Board）报告指出，Log4Shell（CVE-2021-44228）漏洞将成为“地方流行病”，对企业系统的影响可能长达10年以上。

美国总统拜登今年发布行政命令成立的网路安全审查委员会（Cyber Safety Review Board，CSRB）于上周四（7/14）发布第一份报告，根据针对80家组织及业者的调查结果，说明去年12月揭露的Apache Log4j漏洞的实际影响和未来的威胁。

去年Apache 基金会紧急修补的Log4Shell（CVE-2021-44228），是安全风险达10.0的远端程式码执行（RCE）漏洞，被安全专家视为近10年最严重漏洞。Log4Shell漏洞不易修补，衍生出新漏洞，Apache专案组织还多次释出新版本解决。由于Log4j广泛用于许多软件及云端平台，包括微软Minecraft、Amazon、Google、IBM等都受影响，因而也引发全球安全研究人员及企业IT管理员的重视。

  报告指出，目前委员会尚未发现对关键基础架构系统有Log4j相关的重大攻击。一般而言，Log4j漏洞开采发生在比专家预期更低层。但由于鲜少权威性资料源，目前还难以判断它在地理区、产业别或不同生态体系的影响范围。

不过可以确定的是，Log4Shell事件还没有结束。委员会评估Log4j漏洞将成为“地方流行病”（endemic）漏洞，而未来几年间，受其影响的问题执行个体将持续存在企业组织系统内，甚至要到10年或更久。原因之一是，用户或软件开发商并不知道自己使用的软件套件内有Log4j，或是其专案有很高的相依性。

  然而企业组织仍然苦于无法回应漏洞开采事件，而企业升级漏洞系统的工作距离完成也还有一长段距离，尤其是开源软件界通常欠缺资源实行程式码的安全开发。包括Maven Java套件、Java SQL资料库H2等开源软件都被发现有Log4j漏洞。

基于CSRB的政府角色，关于Log4j漏洞，CSRB给出4项建议。首先是持续提高警觉Log4j的漏洞风险、通报Log4j漏洞开采行动，而美国网路安全主管机关CISA也会强化提供统一网路安全资讯的能力。

其次是推动安全最佳典范，像是建立IT资产管理作业、发展漏洞回应、揭露、处理流程、强化辨识有漏洞系统的能力、与建立安全软件开发典范。第三是推动整个软件生态系的漏洞管理，特别是对开源软件社群的协助。最后是著重美国政府单位使用的软件安全性，包括政府软件供应商透明度、及强化辨识有已知漏洞的软件等。