工信部通報阿帕奇Log4j2重大安全漏洞

中關村在線消息，昨日國家工信部官方發布公告，通報了阿帕奇Log4j2組件中的一個重大安全漏洞。據悉，阿帕奇(Apache) Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。近日，阿里云計算有限公司發現阿帕奇Log4j2組件中存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

工信部表示，這一漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。工信部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本，以降低網絡安全風險。

此前McAfee Enterprise和FireEye的高級威脅研究主管表示，Log4Shell的破壞力和Shellshock、Heartbleed和EternalBlue是同一個級別。有消息報道，攻擊者幾乎立即開始利用該漏洞進行非法的加密貨幣挖掘，或利用互聯網上的合法計算資源來產生加密貨幣以獲取經濟利益，有關人士表示該漏洞的影響可能是巨大的，因為它是可蠕蟲式的，可以建立自己的傳播。即使有了補丁，也有幾十個版本的脆弱組件。由于已經觀察到的攻擊數量巨大，可以假定許多組織已經被攻破，并需要采取事件響應措施。