12月13日，星期三，您好！中科汇能与您分享信息安全快讯：

据消息，大约有 38% 采用 Apache Log4j 库的应用程序使用的是存在安全问题的版本，其中包括 Log4Shell 漏洞，该漏洞被追踪为 CVE-2021-44228，尽管两年多前就有了修补程序，但目前的严重程度仍达到了最高级别。

Log4Shell 是一个未经验证的远程代码执行 (RCE) 漏洞，攻击者可以利用其完全控制使用 Log4j 2.0-beta9 及以上版本 2.15.0 的系统。2021 年 12 月 10 日，研究人员首次发现 Log4Shell 安全漏洞，其广泛的影响、易利用性和巨大的安全影响在当时引起了行业“震动”。

感恩节前后，美国弗吉尼亚州中部交通系统受网络攻击导致网络中断，暂时影响了某些应用程序和部分服务。大里士满交通公司作为交通系统的主要服务提供者，为数百万里士满、切斯特菲尔德和亨里科县居民提供公共汽车和专业交通服务。在网络中断后，该公司的IT人员迅速发现并恢复了计算机网络，并已聘请第三方计算机专家对事件的性质和范围进行调查。

该公司的一位发言人表示，目前所有服务都在按计划运行，不会对乘客造成额外的干扰。但该发言人拒绝回答有关这是否是勒索软件攻击或数据是否在事件中被盗的进一步问题。

乌克兰最大的服务提供商Kyivstar在一次重大网络攻击后陷入瘫痪。Kyivstar移动网络基于固定和移动技术的广泛范围，包括乌克兰的4G（LTE），为将近2600万移动客户和超过100万宽带固定互联网客户提供通信服务和数据传输。

昨天，该公司宣布遭受了一次网络攻击，所有移动通信和互联网接入暂时中断。Kyivstar通知了执法机构和当地政府，包括乌克兰安全局（SSU）。乌克兰安全局宣布，根据乌克兰刑法的八项条款，已对这次网络攻击开展了刑事诉讼。该公司补充说，其订户的个人数据没有受到泄露。公司首席执行官Oleksandr Komarov表示，这次攻击是“持续冲突的结果”，他还解释说，IT基础设施已被“部分破坏”。

乌克兰国防部主要情报局的黑客宣布，他们已经入侵了俄罗斯联邦税务局千台服务器，并清除了数据库和备份。军事情报部门表示，这次黑客攻击是在俄罗斯境内成功开展特别行动的结果。

声明还称，乌克兰军事情报部门还能够捕获整个俄罗斯的税务数据的互联网流量。这次网络攻击还中断了俄罗斯联邦税务局中央办公室与2300个地区办公室之间的通信。俄罗斯机构的专家连续四天试图恢复服务但未成功。乌克兰情报部门认为，俄罗斯联邦税务局将至少一个月无法正常运作，税务系统完全恢复是不可能的。

据消息，近日，根据上级部门移交的线索，渝中区网信办在重庆市网信办指导下，依法对属地一科技公司涉数据泄露等违法违规行为进行立案查处，经查，该公司开发运营的某OA信息系统因未履行好网络数据安全保护义务，导致大量数据泄露。现已地该公司作出责令限期五日改正，给予行政警告，并处10万元罚款的行政处罚。

Apache Software Foundation 发布了安全性更新，以应对Struts 2开源框架中的关键文件上传漏洞。成功利用该漏洞（跟踪为 CVE-2023-50164）可导致远程代码执行。Apache未确认该漏洞已在攻击中被积极利用，但建议用户应立即升级到 Struts 2.5.33 或 Struts 6.3.0.2或更高版本。