网络安全审查委员会确定了广泛使用的开源软件中的「地方性漏洞」

美国国土安全部最近发布了一份报告,详细说明了该机构所称的全球政府和企业使用的软件中的「地方性漏洞。」

该报告由国土安全部发布,是网络安全审查委员会的工作,该委员会是一个政府论坛,通过总统乔·拜登 2 月份授权的行政命令设立。该委员会的创建是为了应对过去几年网络犯罪的爆炸式增长,尤其是勒索软件。臭名昭著的恶意软件困扰着全球消费者,威胁到医院学校的 IT 数据库,并袭击了从Colonial Pipeline CompanyFerrara Candy Company的公司。

国土安全部部长 Alejandro N. Mayorkas 表示:「在这个关键时刻,当我们处理风险的能力跟不上数字空间的进步时,网络安全审查委员将做为一个新的转型机构,以前所未有的方式提高我们的网络弹性。」「CSRB 的首次审查为我们-政府和行业-提供了明确、可行的建议,国土安全部将帮助实施这些建议,以加强我们的网络弹性并推进对我们的集体安全至关重要的公私伙伴关系。」

根据 CSRB 的报告,许多勒索软件案件可能是由于 Log4J 中的一个严重漏洞而发生的,Log4J 是由 Apache 软件基金会创建的一款开源软件。Log4J 是所谓的「日志」软件;其目的是记录发生在计算器操作系统内或程序运行时发生的事件 (通常在文本文件中) 。

该程序中的漏洞 (被 LunaSec 命名为「Log4Shell」) ,一些专家声称这是迄今为止最严重的数字安全漏洞,它使黑客能够获取所谓的「任意代码执行。」从本质上讲,黑客很容易利用 Log4J 代码中的漏洞来注入和运行他们自己的恶意代码。

虽然 CSRB 提供了一份长长的建议清单,并打算与行业专家合作解决美国网络安全问题,但委员会警告说,该漏洞可能已经影响到无数设备,并且修复该漏洞可能需要数年时间。根据Ernst & Young 和云安全公司 Wiz 进行的分析,93% 的企业云平台在去年被 Apache 软件基金会披露后不久就容易受到该漏洞的攻击。CSRB 的报告指出:「许多组织仍未完全修补易受攻击的 Log4j 实例。」

该报告概述了美国工业中开源软件使用性质的关键缺陷,强调了对 Apache 软件基金会等知名公司的过度依赖。报告指出,与传统企业不同,ASF 和其他开源组织不会跟踪谁使用他们的产品,也不会尝试管理访问权限。

CSRB 在其报告中指出:「董事会还发现了与维护像 Log4j 这样的开源项目相关的特定挑战,这些项目通常依赖于志愿者团队,并且在整个软件开发生命周期中不一定拥有专门的安全资源。」「开源项目通常没有专门的协调漏洞披露和响应团队来调查报告漏洞的根本原因并努力解决这些问题。」