据联邦信息安全局(BSI)称,广泛使用的 Java 库 Log4j 中存在严重漏洞(Log4Shell),导致威胁形势极其严重。因此,BSI将其现有的网络安全警告升级为红色。做出此项评估的原因是该产品的使用范围非常广泛,并且对无数其他产品产生了相关影响。此漏洞也很容易被利用;概念验证已公开。成功利用此漏洞可以完全接管受影响的系统。 BSI 了解到全球以及德国范围内存在大规模扫描和企图攻击的行为。首次成功入侵的事件也已被公开报道。
BSI 表示红色预警
目前无法准确确定威胁情况的严重程度。虽然受影响 英国电报数据 的 Java 库 Log4j 有一个安全更新,但所有使用 Log4j 的产品也必须进行适配。 Java 库是一个软件模块,用于在其他产品中实现特定功能。因此,它通常深深植根于软件产品的架构中。
当前提交的报告涵盖了勒索软件的总体情况以及自 2019 年底以来的发展情况。攻击者的专业程度以及勒索软件攻击在未来可能造成什么样的损害也变得愈发清晰。一方面,攻击者近年来投入巨资以最大限度地施加勒索压力;另一方面,网络犯罪经济的蓬勃发展也使勒索软件攻击变得容易得多。情况报告详细审查了这些事态发展。
法德形势报告:勒索软件威胁网络社会
目前无法完全确定哪些产品存在漏洞以及哪些产品 IPCC 选出了新一届理事会,其中瑞士代表 已有可用更新,因此必须逐案检查。预计未来几天将有更多产品被认定为易受攻击的产品。
BSI 特别建议
公司和组织实施网络安全警告中概述的防御措施。阿尔及利亚领先 此外,应在短期内提高检测和响应能力,以便能够充分监控自己的系统。一旦单个产品的更新可用,就应该安装它们。此外,应该调查所有存在漏洞的系统是否受到入侵。