Một lỗ hổng máy tính được phát hiện vào năm ngoái trong một phần mềm phổ biến là một vấn đề "đặc hữu" sẽ gây ra rủi ro bảo mật có thể xảy ra trong một thập kỷ hoặc hơn, theo một hội đồng an ninh mạng mới do Tổng thống Joe Biden thành lập.
Sản phẩm Hội đồng đánh giá an toàn mạng cho biết trong một báo cáo hôm thứ Năm rằng mặc dù không có dấu hiệu của bất kỳ Tấn công mạng do lỗ hổng Log4j, nó vẫn sẽ "được khai thác trong nhiều năm tới."
"log4j là một trong những lỗ hổng phần mềm nghiêm trọng nhất trong lịch sử, ”chủ tịch hội đồng quản trị, Bộ An ninh Nội địa dưới quyền Bộ trưởng Rob Silvers, nói với các phóng viên hôm thứ Tư.
Lỗ hổng Log4j, được công khai vào cuối năm ngoái, cho phép những kẻ tấn công dựa trên internet dễ dàng chiếm quyền kiểm soát mọi thứ từ hệ thống điều khiển công nghiệp đến máy chủ web và thiết bị điện tử tiêu dùng. Các dấu hiệu rõ ràng đầu tiên về việc khai thác lỗ hổng đã xuất hiện trong Minecraft, một trò chơi trực tuyến cực kỳ phổ biến thuộc sở hữu của Microsoft.
Việc phát hiện ra lỗ hổng đã khiến các quan chức chính phủ phải cảnh báo khẩn cấp và các chuyên gia an ninh mạng nỗ lực rất lớn để vá các hệ thống dễ bị tấn công.
Hội đồng cho biết hôm thứ Năm rằng "hơi ngạc nhiên" việc khai thác lỗi Log4j đã xảy ra ở mức thấp hơn các chuyên gia dự đoán. Hội đồng quản trị cũng nói rằng họ không biết về bất kỳ cuộc tấn công Log4j “đáng kể” nào vào các hệ thống cơ sở hạ tầng quan trọng nhưng lưu ý rằng một số Tấn công mạng không được báo cáo.
Hội đồng cho biết các cuộc tấn công trong tương lai có thể xảy ra một phần lớn vì Log4j thường được nhúng với phần mềm khác và các tổ chức có thể khó tìm thấy nó đang chạy trong hệ thống của họ.
“Sự kiện này vẫn chưa kết thúc,” Silvers nói.
Log4j, được viết bằng ngôn ngữ lập trình Java, ghi lại hoạt động của người dùng trên máy tính. Được phát triển và duy trì bởi một số tình nguyện viên dưới sự bảo trợ của Tổ chức phần mềm nguồn mở Apache, nó cực kỳ phổ biến với các nhà phát triển phần mềm thương mại.
Một nhà nghiên cứu bảo mật tại gã khổng lồ công nghệ Trung Quốc Alibaba đã thông báo về nền tảng vào ngày 24 tháng XNUMX. Phải mất hai tuần để phát triển và phát hành bản sửa lỗi. Truyền thông Trung Quốc đưa tin rằng chính phủ trừng phạt Alibaba vì đã không báo cáo lỗ hổng sớm hơn cho các quan chức nhà nước.
Hội đồng cho biết hôm thứ Năm rằng họ đã tìm thấy "các yếu tố gây rắc rối" trong chính sách của chính phủ Trung Quốc đối với việc tiết lộ lỗ hổng bảo mật, nói rằng nó có thể giúp tin tặc nhà nước Trung Quốc có cái nhìn sớm về các lỗi máy tính mà họ có thể sử dụng cho các phương tiện bất chính như đánh cắp bí mật thương mại hoặc theo dõi những người bất đồng chính kiến. Chính phủ Trung Quốc từ lâu đã phủ nhận hành vi sai trái trong không gian mạng và nói với hội đồng quản trị rằng họ khuyến khích cải thiện việc chia sẻ thông tin về các lỗ hổng phần mềm.
Hội đồng đã đưa ra một số khuyến nghị về việc giảm thiểu hậu quả của lỗ hổng Log4j cũng như cải thiện an ninh mạng nói chung. Điều đó bao gồm đề xuất rằng các trường đại học và cao đẳng cộng đồng đưa việc đào tạo an ninh mạng trở thành một phần bắt buộc của các chương trình cấp bằng và chứng chỉ về khoa học máy tính.
Ban Đánh giá An toàn Mạng được mô phỏng theo Ban An toàn Giao thông Vận tải Quốc gia, chuyên xem xét các vụ rơi máy bay và các tai nạn lớn khác, và được ủy nhiệm bởi một lệnh điều hành mà Biden đã ký vào tháng 15 năm ngoái. Hội đồng gồm XNUMX thành viên bao gồm FBI, Cơ quan An ninh Quốc gia và các quan chức chính phủ khác cũng như những người từ khu vực tư nhân. Một số người ủng hộ hội đồng quản trị mới đã chỉ trích DHS đã mất quá nhiều thời gian để thiết lập và vận hành nó.
Lệnh điều hành của Biden đã chỉ đạo hội đồng quản trị tiến hành đánh giá đầu tiên về chiến dịch gián điệp mạng khổng lồ của Nga được gọi là SolarWinds. Tin tặc Nga đã có thể xâm nhập một số cơ quan liên bang, bao gồm cả tài khoản của các quan chức an ninh mạng hàng đầu tại DHS, mặc dù thông tin đầy đủ từ chiến dịch đó vẫn chưa rõ ràng.
Silvers cho biết DHS và Nhà Trắng đồng ý rằng việc xem xét lỗ hổng Log4j là cách sử dụng tốt hơn chuyên môn và thời gian của ban giám đốc mới.
