微軟警告Log4j漏洞風險並未消褪，要有長期抗戰準備，美FTC也呼籲企業與合作廠商立即行動，不然將提告

Apache Log4j漏洞揭露一個月後，微軟本周警告，開採漏洞的行動仍然活躍，呼籲用戶應立即更新版本並提高警覺。

去年12月初公佈的Log4j元件（CVE-2021-44228）遠端程式碼漏洞，影響數以百萬計消費及企業軟體及Web程式，之後Log4j還陸續有其他中高風險漏洞相繼被揭露。微軟12月中已經觀察到網路上有各種開採意圖，試圖尋找未修補的裝置以植入勒索軟體、挖礦程式、木馬程式，這些攻擊活動背後包括國家駭客以及以獲利為目的犯罪組織。

微軟本周指出，12月幾個星期間試圖開採漏洞的活動仍然頻繁，他們觀察到攻擊者已在現有惡意程式套件和策略，從採礦軟體到人為操作攻擊，加入針對Log4j眾多漏洞的開採模組，然而用戶可能無法察知是否已被駭入。微軟建議針對曾跑過漏洞軟體（Log4j）的裝置加強檢查，此時企業管理員應假定其網路環境已經成為開採程式和掃瞄活動的目標。

微軟並指出，由於受影響軟體和服務數量之多，以及更新速度之慢，可以預期整個業界需要花很長時間才能補完漏洞，需要保持警戒。

安全廠商觀測到中國、伊朗、北韓、土耳其及俄羅斯等國家支持的駭客組織，已涉及Log4j漏洞的攻擊。上周中國駭客組織Aquatic Panda也被發現利用這項漏洞，攻擊學術單位採用的VMware Horizon系統。

另一方面，美國聯邦交易委員會（Federal Trade Commission, FTC）本周呼籲企業應儘速修補Apache Log4j漏洞，企業及其合作廠商務必立即採取行動，以降低消費者受害的可能性，未修補者可能被FTC提告。

美國聯邦交易委員會（FTC）警告，若因未修補漏洞而致客戶個資外洩或財務損失，可能遭FTC提告。

FTC以2017年中發生資料外洩事件的信用報告業者Equifax為例說明。Equifax在2017年的5月至7月間，因漏洞未補遭駭客入侵，外洩1.47億名消費者的個人資料，包括姓名、生日、住家地址以及20.1萬張金融卡資料。事後調查顯示，美國國土安全部曾在當年3月向Equifax警告漏洞的存在，後者卻未有效修補。Equifax遭FTC控告，雙方並於2019年以7億美元達成和解。

現在已知Log4j漏洞包括最嚴重的CVE-2021-44228和CVE-2021-45046、以及上周才公佈的CVE-2021-44832（3個RCE漏洞已以Log4Shell統稱）。此外還有DoS漏洞CVE-2021-45105。安裝Log4j最新版2.17.1可以修補目前已知所有漏洞。

 相關報導