[[439923]]

近日有報(bào)道稱，包括蘋果 iCloud、推特、Cloudflare、《我的世界》、以及 Steam 等在內(nèi)的諸多熱門服務(wù)，均易受到一個(gè)零日漏洞的影響。Luna Sec 安全研究人員將這個(gè)存在于流行的 Java 日志庫中的零日漏洞利用稱作“Log4Shell”，且已在 Apache Log4j 中發(fā)現(xiàn)。后者是一款開源的日志實(shí)用程序，且被大量應(yīng)用程序、網(wǎng)站和相關(guān)服務(wù)所采用。

(來自：Luna Sec)

起初，研究人員僅在微軟旗下的《我的世界》中發(fā)現(xiàn)了“Log4Shell”。但由于 Log4j 在幾乎所有基于 Java 的企業(yè)應(yīng)用程序 / 服務(wù)器中“無處不在”，這一零日漏洞的影響范圍還是難以估量的。

Luna Sec 安全研究人員在一篇博客文章中警告稱：任何使用 Apache Struts 的地方，都可能易受此類攻擊。

美國國家安全局網(wǎng)絡(luò)安全主管 Robert Joyce 證實(shí)，該機(jī)構(gòu)開發(fā)的免費(fèi)開源逆向工程工具 GHIDRA 也受到了影響：“由于廣泛包含在軟件框架中，Log4j 是一個(gè)相當(dāng)重大的漏洞利用威脅”。

新西蘭計(jì)算機(jī)緊急響應(yīng)小組(CERT)、德國電信 CERT 和 Greynoise 網(wǎng)絡(luò)監(jiān)控服務(wù)均發(fā)出警告 —— 攻擊者正在積極尋找易受 Log4Shell 攻擊的服務(wù)器，約有 100 臺(tái)不同的主機(jī)正在對互聯(lián)網(wǎng)展開掃描。

最后，HackerOne 高級(jí)安全技術(shù)專家 Kayla Underkoffler 指出 —— 隨著開源軟件在全球關(guān)鍵供應(yīng)鏈中所占的比例越來越大，其遭遇此類攻擊威脅的位面也在與日俱增。