新加坡——周五(12月17日)，该国国家网络安全监管机构提高了对高度严重的Log4j软件安全漏洞的警戒级别，该漏洞已被全球专家和政府宣布为红色代码。

黑客们正争相利用这一被广泛使用的软件中的漏洞，网络安全专家称这是近年来最糟糕的软件之一。

新加坡网络安全局(CSA)表示，它本周与所有监管该国11个关键信息基础设施(CII)部门的政府机构举行了两次紧急会议，包括电信、交通以及银行和金融。

受影响的免费和开源Apache Log4j软件通常用于记录和跟踪许多应用程序的变化，从社交媒体和游戏到在线购物和银行。

这个漏洞非常严重，它可以让黑客轻易地完全控制计算机系统，让他们窃取和删除数据，用勒索软件锁住数字文件，直到骗子得到报酬，进行欺诈性的银行转账等等。

这个漏洞也很容易被利用，只要添加一行代码就足够了，专家说业余网络犯罪分子也能做到这一点。

CSA与有关机构合作，就漏洞向CII部门的机构发出指示和技术细节，例如修补他们的系统，并立即采取措施，尽量减少滥用漏洞。

这些机构还在更密切地监视任何不寻常的活动。

CSA还在周五上午通报了行业协会和商会，“以强调脆弱性的严重性和为所有企业和中小企业实施缓解措施的紧迫性”，该机构补充道。

美国网络安全和基础设施安全局(United States Cybersecurity and Infrastructure Security Agency)周一警告称，数亿台设备可能会受到影响。该剧导演珍·伊斯特利(Jen Easterly)表示，这个漏洞“是我整个职业生涯中遇到的最严重的漏洞之一，如果不是最严重的话”。

虽然由于受影响软件的普遍使用，很难确定其对组织的确切影响，但CSA表示，“据估计，大多数(如果不是所有)企业和组织都有一些使用Log4j的应用程序或软件”。

上周五，新加坡通信和信息部长约瑟芬·泰欧(Josephine Teo)在Facebook上说，CSA和新加坡科技局(政府Technology Agency of Singapore)正在彻底检查和修补该国的政府系统。

“所有企业都必须迅速采取行动保护自己，”她补充说。

时间可能已经不多了。

CSA表示，“形势正在迅速发展，已经有大量观察到威胁行为者正在试图扫描和攻击脆弱的系统。”

   

针对新加坡CII系统漏洞的主动扫描已被发现，但目前CSA尚未收到任何与该漏洞相关的入侵报告。

该机构表示:“大多数此类探测尝试都在其网络边界处被阻止，即互联网面向和公司私人网络之间的安全边界。”

网络安全公司Acronis表示，上周五(12月10日)，也就是CSA第一次向公众发出漏洞警报的那天，在新加坡和全球都有个位数的人试图利用这个安全漏洞。但这一数字在周末飙升了300倍。

她说:“虽然情况很严重，但我们总会采取积极的措施。”“我敦促CII所有者、业务领导或开发人员识别系统中的潜在风险，并迅速消除这些差距。对你的网络和系统中的异常活动保持警惕。”

CSA建议组织立即用最新的更新给他们的系统打补丁，特别是如果他们使用受影响的Log4j版本。

他们还应该弄清楚Log4j是否在他们系统的其他实例中使用，并做更多工作来监视可疑的活动。

在其产品中使用Log4j的开发人员应该识别、减轻和开发受影响产品的补丁，并通知其客户产品存在漏洞，需要更新。

   

但是修复这个漏洞并不容易。

据路透社报道，截至周四，思科系统、IBM、VMware和Splunk等许多大型技术公司仍有多款受影响的客户软件，但仍缺乏可用的补丁。

网络安全公司Cybereason亚太地区的首席安全官C.K. Chim先生说，软件漏洞如此严重的原因是“各组织甚至没有意识到Log4j是他们需要保护的网络的一部分”。

他说，例如，当员工在Web应用程序上上传或共享机密信息时，他们会在不知不觉中暴露这些数据。

Chim补充说，给受影响的软件打补丁需要时间，对于一些系统来说，即使完全打补丁，也可能无法立即完成。

他建议各公司尽快将软件升级到新版本。

他说:“保持良好的保安卫生，例如及时侦测，可在成功开发的情况下，尽量减少对业务的影响。”