昨日,工信部正式发布公告,通报ApacheLog4j2组件重大安全漏洞。据悉,ApacheLog4j2组件是一个基于Java语言的开源日志框架,广泛应用于业务系统开发。近日,阿里云计算有限公司发现ApacheLog4j2组件存在远程代码执行漏洞,并向Apache软件基金会通报了该漏洞。工信部表示,该漏洞可能导致远程控制设备,进而可能造成敏感信息被盗、设备服务中断等严重危害,属于高危漏洞。工信部提醒相关单位和社会公众密切关注ApacheLog4j2组件漏洞补丁发布情况,检查相关系统中ApacheLog4j2组件的使用情况,及时升级组件版本,降低网络安全风险风险。此前McAfeeEnterprise和FireEye的高级威胁研究主管表示,Log4Shell的破坏力与Shellshock、Heartbleed和EternalBlue处于同一水平。据报道,攻击者几乎立即开始利用该漏洞进行非法加密货币挖掘,或使用互联网上的合法计算资源生成加密货币以获取经济利益。是可蠕虫的,可以建立自己的传播。即使打了补丁,易受攻击的组件也有几十个版本。由于已观察到大量攻击,可以假设许多组织已受到威胁并需要采取事件响应措施。
