雷鋒網(wǎng)消息：昨日夜間，Apache Log4j2引發(fā)嚴重安全漏洞，疑似很多公司的服務器被掃描攻擊，一大批安全人員深夜修bug，堪稱“核彈級”漏洞。

經(jīng)專家研判，該漏洞影響范圍極大，且利用方式十分簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執(zhí)行任何多余操作即可觸發(fā)該漏洞，使攻擊者可以遠程控制用戶受害者服務器，90%以上基于java開發(fā)的應用平臺都會受到影響。

log4j是Apache的一個開源項目, 是一個基于Java的日志記錄框架。Log4j2是log4j的后繼者，被大量用于業(yè)務系統(tǒng)開發(fā)，記錄日志信息。很多互聯(lián)網(wǎng)公司以及耳熟能詳?shù)墓镜南到y(tǒng)都在使用該框架。

據(jù)網(wǎng)友描述：“百度的主頁搜索被黑了，所有Java同學起床修bug，影響很大”。

此次Log4j2 遠程代碼執(zhí)行漏洞，已經(jīng)被攻擊者利用并公開擴散。觸發(fā)條件：只要外部用戶輸入的數(shù)據(jù)會被日志記錄，即可造成遠程代碼執(zhí)行。

有網(wǎng)友表示：“可以說是災難性的漏洞，比之前的fastjson和shiro還要嚴重，這個漏洞估計在之后三四年內(nèi)還會繼續(xù)存在”。

如果被攻擊，影響的范圍堪比2017年“永恒之藍”病毒，當年的WannaCry勒索病毒，致使美國、英國、俄羅斯、中國等至少150個國家，30萬名用戶中招。

雷峰網(wǎng)(公眾號：雷峰網(wǎng))從奇安信集團了解到，根據(jù)安域云防護的監(jiān)測數(shù)據(jù)顯示，截至12月10日中午12點，已發(fā)現(xiàn)近1萬次利用該漏洞的攻擊行為。奇安信應急響應中心已接到十余起重要單位的漏洞應急響應需求，已于12月9日晚間將漏洞信息上報了相關(guān)主管部門。補天漏洞響應平臺負責人介紹，12月9日深夜，僅一小時內(nèi)就收到白帽黑客提交的百余條該漏洞的信息。

安全專家還表示，開源軟件安全治理是一項任重道遠的工作，需要國家、行業(yè)、用戶、軟件廠商都重視起來并投入才能達到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示："漏洞嚴重，建議排查所有系統(tǒng)依賴升級到log4j-2.15.0-rc1。業(yè)務系統(tǒng)可能沒有直接引用，但是旁路的日志、大數(shù)據(jù)等Java體系生態(tài)中基本上都有，仍然會被打。"

據(jù)雷峰網(wǎng)了解，2021年11月24日，阿里云安全團隊向Apache官方報告了Apache Log4j2遠程代碼執(zhí)行漏洞。

昨日，阿里云應急響應中心提醒用戶盡快采取安全措施阻止漏洞攻擊，并表示：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影響。

有些廠家給出排查方式，用戶只需排查Java應用是否引入 log4j-api , log4j-core 兩個jar。若存在應用使用，極大可能會受到影響。

目前似乎尚無統(tǒng)一解決辦法，有業(yè)內(nèi)人士稱正在等待官方修復補丁，保險起見選擇版本回滾?？v觀當前討論態(tài)勢，預計漏洞影響還在繼續(xù)發(fā)酵當中。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。