近日,有消息称苹果iCloud、推特、Cloudflare、《我的世界》、Steam等众多热门服务易受影响一个零日漏洞。LunaSec安全研究人员在流行的Java日志记录库“Log4Shell”中将此零日漏洞称为“Log4Shell”,它是在ApacheLog4j中发现的。后者是大量应用程序、网站和相关服务使用的开源日志记录实用程序。(来自:LunaSec)起初,研究人员只在微软拥有的《我的世界》中发现了“Log4Shell”。但是,由于Log4j在几乎所有基于Java的企业应用程序/服务器中“无处不在”,这个零日漏洞的影响范围仍然难以估计。LunaSec安全研究人员在博客文章中警告说,任何使用ApacheStruts的地方都可能容易受到此类攻击。经证实,易受攻击的服务器已影响苹果、亚马逊、Cloudflare、Twitter、Steam、百度、网易、腾讯、Elastic等科技巨头。值得庆幸的是,虽然还有数千家其他组织尚未被列入名单,但Cloudflare在给CNBC的一份声明中表示,它已经用更新修补了其系统,并且没有看到任何利用的证据。此外,《我的世界》游戏开发商MojangStudio已通过紧急安全更新修复了该错误。Apache软件基金会今天还发布了紧急安全更新,以及针对无法立即启用更新的客户的缓解措施。美国国家安全局网络安全主管罗伯特乔伊斯证实,该机构开发的免费开源逆向工程工具GHIDRA也受到了影响:“Log4j是一个相当重要的漏洞利用威胁,因为它广泛包含在软件框架中”。新西兰的计算机应急响应小组(CERT)、德国电信CERT和Greynoise网络监控服务都发出了警告——攻击者正在积极寻找易受Log4Shell攻击的服务器,大约有100台不同的主机在扫描互联网。最后,HackerOne高级安全技术专家KaylaUnderkoffler指出,随着开源软件在全球关键供应链中所占比例越来越大,其对此类攻击的威胁也越来越大。
