呂惠

近日，國家工信部官方發(fā)布公告，通報(bào)了阿帕奇Log4j2組件中的一個(gè)重大安全漏洞。據(jù)悉，阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。近日，阿里云計(jì)算有限公司發(fā)現(xiàn)阿帕奇Log4j2組件中存在遠(yuǎn)程代碼執(zhí)行漏洞，并將漏洞的情況告知阿帕奇軟件基金會(huì)。

工信部表示，這一漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控，進(jìn)而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害，屬于高危漏洞。提醒有關(guān)單位和公眾密切關(guān)注阿帕奇Log4j2組件漏洞補(bǔ)丁發(fā)布，排查自有相關(guān)系統(tǒng)阿帕奇Log4j2組件使用情況，及時(shí)升級(jí)組件版本，以降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

此前McAfee Enterprise和FireEye的高級(jí)威脅研究主管表示，Log4Shell的破壞力和Shellshock、Heartbleed和Eternal Blue是同一個(gè)級(jí)別。有消息報(bào)道，攻擊者已經(jīng)開始利用該漏洞進(jìn)行非法的加密貨幣挖掘，或利用互聯(lián)網(wǎng)上的合法計(jì)算資源來產(chǎn)生加密貨幣以獲取經(jīng)濟(jì)利益。有關(guān)人士表示該漏洞的影響可能是巨大的，因?yàn)樗侨湎x式的，可以建立自己的傳播，即使有了補(bǔ)丁，也有幾十個(gè)版本的組件。由于已經(jīng)觀察到的攻擊數(shù)量巨大，可以假定許多組織已經(jīng)被攻破，并需要采取事件響應(yīng)措施。