吕惠

近日，国家工信部官方发布公告，通报了阿帕奇Log4j2组件中的一个重大安全漏洞。据悉，阿帕奇Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件中存在远程代码执行漏洞，并将漏洞的情况告知阿帕奇软件基金会。

工信部表示，这一漏洞可能导致设备远程受控，進而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本，以降低网络安全风险。

此前McAfee Enterprise和FireEye的高级威胁研究主管表示，Log4Shell的破坏力和Shellshock、Heartbleed和Eternal Blue是同一个级别。有消息报道，攻击者已经开始利用该漏洞进行非法的加密货币挖掘，或利用互联网上的合法计算资源来产生加密货币以获取经济利益。有关人士表示该漏洞的影响可能是巨大的，因为它是蠕虫式的，可以建立自己的传播，即使有了补丁，也有几十个版本的组件。由于已经观察到的攻击数量巨大，可以假定许多组织已经被攻破，并需要采取事件响应措施。