美國網絡安全與基礎設施安全局(CISA)高級官員周一表示，安全專業人員將在很長一段時間內，與嚴重的 Log4j 安全漏洞作斗爭。如果未打補丁或無視修復，一個月前在 Apache Log4j 中曝光的 Java 日志庫安全漏洞，將給互聯網帶來巨大的風險。網絡攻擊者可利用廣泛使用的軟件中的漏洞，接管受害計算機和服務器，進而使消費電子產品和政企系統全面淪陷。

(截圖 via NIST)

在周一的電話會議期間，CISA 主任 Jen Easterly 向記者透露：盡管還有許多攻擊未見諸報端，但目前尚未有任何美國聯邦機構受到 Log4j 漏洞、以及重大網絡攻擊的損害。

• 該漏洞波及數以千萬計的互聯網聯網設備，影響范圍之廣，使之成為 CISA 史上最糟糕的一次經歷。
• 此外攻擊者可能正在等待一個大家都感到懈怠的時機，從而讓 Log4Shell 能夠在未來更好地用于入侵。

(截圖 via CISA)

Jen Easterly 還援引了 2017 年發生的 Equifax 數據泄露事件，其同樣歸咎于開源軟件中的一個漏洞，最終導致近 1.5 億美國人的個人信息泄露。

截至目前，大多數漏洞利用仍集中在較低級的加密貨幣挖礦、或嘗試將受害設備拖入僵尸網絡。最先曝出的，就是微軟旗下的《我的世界》游戲服務器。

與此同時，世界各地也發生了類似的大規模攻擊。比如上月，比利時國防部就證實，其系統也因 Log4j 安全漏洞而遭到了破壞。