HKCERT 呼吁本地资讯科技用户尽快修补 Apache “Log4j” 漏洞

(香港,2021年12月16日) 针对最近在Apache “Log4j” 发现的严重保安漏洞,以及全球相关的网络攻击激增,香港生产力促进局辖下的香港电脑保安事故协调中心(HKCERT)呼吁本地资讯科技用户尽快修补漏洞。

Apache “Log4j” 是一种用作处理日志记录的开放源软件,广泛使用于网页伺服器、网络设备、数据库伺服器等各类资讯科技设施及软件产品。今次事件中,以Apache Log4j 2.14.1 或更低版本运作的系统最容易受到攻击。攻击者可以利用此漏洞,透过Mirai、Mushtik等更新版恶意程式夺取系统控制权,并将系统转成殭尸电脑;甚至可以发动勒索软件攻击,例如Khonsari。HKCERT认为这种情况将进一步恶化,并预料将有更多和“Log4j”漏洞相关的恶意程式和勒索软件攻击,因此敦促公众和机构要留意相关的攻击及尽快修补“Log4j”漏洞。

受影响产品的供应商已陆续推出修补程式,本地资讯科技用户应尽快在官方网站下载及安装相关修补程式。如欲了解个别产品的修补详情,用户可向产品供应商查询。关于“Log4j”漏洞的受影响产品、解决方案、检测方法及防护措施,可参考以下网址:https://www.hkcert.org/tc/security-bulletin/java-se-remote-code-execution-vulnerability_20211210

用户如想进一步查询,欢迎通过电邮hkcert@hkcert.org 或24小时热线电话 8105 6060 与 HKCERT 联络。HKCERT 会继续密切留意攻击的最新动态,如有进一步消息,会适时对外发布。

- 完 -