近日,Log4j (Log4j Shell)可謂是鬧得沸沸揚揚,讓不少互聯網公司聞風喪膽。但是有不少花生友並不知道 Log4j 是什麼,其實 Log4j2 是一款非常優秀和應用廣泛的 Java 日誌框架,其基於 Log4j 做了很多改進和升級,並且引入了很多有用的特性,在很多項目裡被用作日誌記錄。
而就在不久前,阿里雲安全團隊向 Apache 官方報告了 Apache Log4j2 遠程代碼執行漏洞。由於 Apache Log4j2 某些功能存在遞歸解析功能,攻擊者可直接構造惡意請求,觸發遠程代碼執行漏洞。
真的有那麼糟糕了嗎?近日多家網絡安全公司的研究人員發出警告稱,受最近披露的 Log4j 漏洞利用的影響,黑客已在過去72小時內發起了超過 84萬次的攻擊。值得注意的是,Apple、Amazon、IBM、微軟、Cisco 等知名企業也在攻擊的目標之中。要知道,這些企業存放了海量的用戶信息,若被攻破將會引成為史以來最大的一次資料洩漏。
在上週,包括 TechSpot 在內的多家媒體對開源軟件中的 Log4j 漏洞展開了持續報導。作為以持續監測事態發展的安全公司Check Point 為例,其有觀察到每分鐘超過 100次的 Log4j 攻擊。
而且網絡安全公司 Maniant CTO Charles Carmakal 在接受 ArsTechnica 採訪時稱,雖然黑客散佈在全球各地,但更多攻擊已經在路上。
Check Point 透露,黑客們已經利用 Log4j 漏洞來接管受害者的電腦,以執行從加密貨幣挖礦、發送垃圾郵件、到通過大型殭屍網絡發起 DDoS 攻擊的任何事情。
目前 Log4j 漏洞已經非常嚴重,Acunetix 工程負責人Nicholas Sciberras 表示:「利用這個漏洞,攻擊者幾乎可以獲得無限的權力—— 比如他們可以提取敏感數據、將文件上傳到伺服器、刪除數據、安裝勒索軟件、或進一步散播到其它伺服器」。