黑客仍然针对过时软件漏洞，尽管已有修复措施 - 彭博社

詹·伊斯特利，网络安全和基础设施安全局局长。

摄影师：亚伦·M·斯普雷彻/彭博社几年前在Log4j软件中发现的臭名昭著的软件漏洞已成为数字版的流感：容易感染，令人烦恼且潜在危险。Log4j是一款开源软件，用于收集和管理系统活动的信息。它是现代技术的一个构建块，开发人员用它来跟踪他们的软件应用程序或在线服务中的发生情况，根据英国国家网络安全中心的说法。

由于其易于使用、免费且有效，Log4j在全球数百万个系统中被使用。

该漏洞严重到足以引发政府机构的多次警报，并且经过国土安全部的网络安全审查委员会的长时间审查。

在2021年12月广为人知后不久，美国网络安全和基础设施安全局局长詹·伊斯特利称其为“我整个职业生涯中见过的最严重的漏洞之一，如果不是最严重的话。”

近三年后，攻击者仍然利用开源软件漏洞试图侵入计算机系统，来自以色列网络安全公司Check Point Software Technologies Ltd.的报告显示。

Check Point的研究表明，在发现Log4j漏洞后的几个月里，略少于一半的客户受到该漏洞的攻击。最近，这一数字已降至约三分之一。

Check Point Research的威胁情报组经理谢尔盖·希凯维奇表示，黑客持续使用Log4j作为试图妥协受害者的手段，表明“仍有很多组织没有修补”这个问题。

为Log4j提供支持的非营利组织Apache软件基金会没有回应评论请求。

Check Point表示，它阻止了所有的攻击尝试。

希凯维奇表示，黑客经常试图利用几年前发现的软件漏洞。但他说，Log4j的普遍性使得这一问题独特而具有挑战性。

评估Log4j漏洞造成的整体损害是困难的，网络安全审查委员会指出，“很难确定一个权威来源来理解利用趋势。”

然而，勒索软件组织Conti在其日常操作中部署了Log4j漏洞，研究人员在2021年表示，而怀疑的伊朗黑客 在次年利用该漏洞对以色列进行攻击，微软报告称。中国的攻击者也被 报道正在利用Log4j漏洞。8月，Datadog安全实验室 披露了一项Log4j活动，诈骗者利用该漏洞进行加密货币挖矿。

“这个漏洞造成的损害是显著的，但我担心我们并没有完全理解其后果，”Datadog的首席信息安全官Emilio Escobar在一封电子邮件中说道。“这是因为像物联网设备、家电和旧软件服务这样的东西，我们知道可能永远不会被修补，也可能没有被监控。”

Mandiant的漏洞和利用高级经理Jared Semrau表示，这家网络安全公司自2022年以来没有看到该漏洞的成功利用，但他说有很多证据表明黑客仍在尝试。“这与利用成功的可能性大多数情况下无关，而更多与这种类型的利用风险低有关，”他在一封电子邮件中说道。

在2022年7月，网络安全审查委员会得出结论，“Log4j已经成为一种‘地方性漏洞’，将在未来几年内被利用。”

不幸的是，他们似乎是正确的。

我们本周学到了什么

乌克兰总统弗拉基米尔·泽连斯基。摄影师：Ting Shen/Bloomberg根据基辅一位知情官员的说法，乌克兰黑客在周一发动了一次网络攻击，导致俄罗斯国家电视和广播频道的在线直播中断。

至少有20家俄罗斯广播公司受到此次黑客攻击的影响，包括Rossiya 24新闻服务，该官员表示，因问题敏感要求匿名。彭博新闻无法独立验证这一说法。

广播中断恰逢俄罗斯总统弗拉基米尔·普京的72岁生日。— 奥列西娅·萨夫罗诺娃

我们正在阅读的内容

• 美国官员表示 外国对手正在准备 引发对总统选举有效性的怀疑。
• 虚假信息研究人员正在追踪政治动机社交媒体账户如何利用飓风季节来 制造关于投票过程的混乱。
• 俄罗斯军方 博主正在抗议政府禁止 Discord 的举措。
• MoneyGram表示黑客窃取了 客户的交易数据。
• 为数百万人民提供饮用水的美国水务公司表示，攻击者 入侵了其系统。
• 中央情报局局长威廉·伯恩斯 警告说错误判断 可能引发伊朗与以色列之间的冲突。
• 入侵者 从ADT窃取了加密客户数据，该数据是在入侵商业伙伴后获得的。
• 唐纳德·特朗普表示丝绸之路创始人 应该从监狱中获释。

钓鱼攻击

不过，迪亚布罗酱不够。

**有新闻线索吗？**您可以通过 [email protected] 联系安迪·马丁。您还可以使用我们的 SecureDrop 安全且匿名地发送文件。

更多来自彭博社

获取每日科技资讯 和更多彭博科技周刊到您的邮箱：

• 游戏进行中 了解视频游戏行业的动态
• 电力开启 获取苹果新闻、消费科技新闻等
• 屏幕时间 了解好莱坞与硅谷的碰撞
• 声音片段 报道播客、音乐产业和音频趋势
• 问与AI 解答您关于人工智能的所有问题