美國網路安全和基礎設施安全域（CISA）已經向各聯邦機構發去警示，敦促其在平安夜前修補受 Log4Shell 漏洞影響的系統。 昨日，該機構已將 CVE-2021-44228 和其它 12 個安全漏洞列入「主動漏洞利用目錄」。 基於此，相關聯邦機構將有十天時間來測試有哪些內部應用程式 / 伺服器使用了 Log4j Java 庫、檢查系統是否易受 Log4Shell 攻擊、並及時修補受影響的伺服器。

由目錄時程表可知，上述工作需在 12 月 24 日之前完成。

此外，CISA 於昨日提出了一個專門的網頁，旨在為美國公共和私營部門提供有關 Log4Shell 漏洞緩解措施的指導。

該機構計劃在該頁列出所有易受 Log4Shell 漏洞影響的軟體供應商，以便大家即使獲取最新且全面的補丁資訊。

儘管自上周以來，廠商已經陸續推出了緊急補丁，但要等到正式融合於相關軟體，顯然還需要再等待一段時間。

雖然 CISA 工作人員仍在通過 GitHub 收集項目資訊，但安全研究員 Royce Williams 已經編製了哪些產品易受 Log4Shell 漏洞攻擊影響的一份清單（其中涵蓋了 300 多家供應商），此外還有一份由荷蘭國家網路安全中心維護的名錄。

至於造成本次風波的罪魁禍首，其源於Log4j這個Java庫中的一個bug 。 Log4j 為許多 Java 桌面應用程式 / 伺服器軟體提供了日誌創建和管理功能，但幾乎無處不在的大規模漏洞利用，已將各個行業逼到了相當危險的境地。

另一個需要考慮的是，思科與 Cloudflare 均表示，他們曾於漏洞公開兩周前首次看到 Log4Shell 被利用的跡象 —— 確切說法是 12 月 1 日發生了首次攻擊（而不是上周）—— 意味著安全團隊需要擴大相關回應事件的調查。