美国政府委员会发现：Log4j重大网络漏洞将长期存在，成为"地方性"风险——《华尔街日报》

华盛顿——美国政府的一项审查得出结论，去年在一个广泛使用的软件中检测到的一个重大网络安全漏洞是一个“长期存在的漏洞”，可能会持续十多年，成为黑客渗透计算机网络的途径。

根据周四发布的总结审查结果的报告，这个在名为Log4j的常见代码版本中发现的漏洞，其影响比最初担心的要小。

报告称：“Log4j事件尚未结束。委员会评估Log4j是一个‘长期存在的漏洞’，易受攻击的Log4j实例将在系统中存留多年，可能十年或更长时间。仍然存在重大风险。”

这些发现是网络安全审查委员会首次发布的此类报告，该委员会由来自多个政府机构和私营部门的专家组成，并包括企业防范Log4j威胁的建议。该委员会隶属于国土安全部，今年早些时候成立，旨在审查重大网络安全事件。其模式类似于调查火车脱轨和飞机坠毁的国家运输安全委员会。预计该委员会将定期审查国家重大网络安全事件，并发布公开调查结果和建议。

网络安全审查委员会主席罗布·西尔弗斯。图片来源：本杰明·阿普尔鲍姆/国土安全部董事会还认定，没有证据表明在阿里巴巴集团控股有限公司的研究人员公开披露该漏洞之前，有任何黑客利用了该漏洞。阿里巴巴集团的研究人员向维护Log4j的软件基金会发出了警报。但专家组警告称，未来可能会发生黑客攻击。

美国国土安全部网络安全审查委员会表示，存在漏洞的Log4j实例将在未来许多年（可能十年或更长时间）内继续存在于系统中。图片来源：Ting Shen for The Wall Street Journal据中国官方媒体当时报道，中国负责技术的部门因披露处理问题暂停了与阿里巴巴云计算部门的网络安全合作。阿里巴巴云计算部门。委员会表示，曾就阿里巴巴受罚一事询问中国但未获答复，并对中国要求企业向政府披露漏洞的法律表示担忧。委员会称，这种制度可能被中国国家支持的黑客滥用，他们能率先知晓漏洞并在补丁发布前加以利用。

报告称：“考虑到（中国）政府在知识产权盗窃、情报收集、监视人权活动人士和异见人士以及军事网络行动方面的不良记录，这一前景令人不安。”

中国一贯否认西方关于其从事恶意网络活动的指控。

联系 达斯汀·沃尔兹，邮箱：[email protected]

刊登于2022年7月15日印刷版，标题为《Log4j网络漏洞存在"地方性"风险》。