緊急！ Log4j漏洞風險，堪比“永恒之藍”或將影響70%以上企業

雷鋒網消息：昨日夜間，Apache Log4j2引發嚴重安全漏洞，疑似很多公司的服務器被掃描攻擊，一大批安全人員深夜修bug，堪稱“核彈級”漏洞。

經專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多余操作即可觸發該漏洞，使攻擊者可以遠程控制用戶受害者服務器，90%以上基于java開發的應用平臺都會受到影響。

log4j是Apache的一個開源項目, 是一個基于Java的日志記錄框架。Log4j2是log4j的后繼者，被大量用于業務系統開發，記錄日志信息。很多互聯網公司以及耳熟能詳的公司的系統都在使用該框架。

據網友描述：“百度的主頁搜索被黑了，所有Java同學起床修bug，影響很大”。

此次Log4j2 遠程代碼執行漏洞，已經被攻擊者利用并公開擴散。觸發條件：只要外部用戶輸入的數據會被日志記錄，即可造成遠程代碼執行。

有網友表示：“可以說是災難性的漏洞，比之前的fastjson和shiro還要嚴重，這個漏洞估計在之后三四年內還會繼續存在”。

如果被攻擊，影響的范圍堪比2017年“永恒之藍”病毒，當年的WannaCry勒索病毒，致使美國、英國、俄羅斯、中國等至少150個國家，30萬名用戶中招。

雷峰網從奇安信集團了解到，根據安域云防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。奇安信應急響應中心已接到十余起重要單位的漏洞應急響應需求，已于12月9日晚間將漏洞信息上報了相關主管部門。補天漏洞響應平臺負責人介紹，12月9日深夜，僅一小時內就收到白帽黑客提交的百余條該漏洞的信息。

安全專家還表示，開源軟件安全治理是一項任重道遠的工作，需要國家、行業、用戶、軟件廠商都重視起來并投入才能達到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示："漏洞嚴重，建議排查所有系統依賴升級到log4j-2.15.0-rc1。業務系統可能沒有直接引用，但是旁路的日志、大數據等Java體系生態中基本上都有，仍然會被打。"

據雷峰網(公眾號：雷峰網)了解，2021年11月24日，阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執行漏洞。

昨日，阿里云應急響應中心提醒用戶盡快采取安全措施阻止漏洞攻擊，并表示：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

有些廠家給出排查方式，用戶只需排查Java應用是否引入 log4j-api , log4j-core 兩個jar。若存在應用使用，極大可能會受到影響。

目前似乎尚無統一解決辦法，有業內人士稱正在等待官方修復補丁，保險起見選擇版本回滾?？v觀當前討論態勢，預計漏洞影響還在繼續發酵當中。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。