近日有报道称，包括苹果iCloud、推特、Cloudflare、《我的世界》、以及Steam等在内的诸多热门服务，均易受到一个零日漏洞的影响。Luna Sec安全研究人员将这个存在于流行的Java日志库中的零日漏洞利用称作“Log4Shell”，且已在Apache Log4j中发现。后者是一款开源的日志实用程序，且被大量应用程序、网站和相关服务所采用。

（来自：Luna Sec）

起初，研究人员仅在微软旗下的《我的世界》中发现了“Log4Shell”。但由于Log4j在几乎所有基于Java的企业应用程序/服务器中“无处不在”，这一零日漏洞的影响范围还是难以估量的。

Luna Sec安全研究人员在一篇博客文章中警告称：任何使用Apache Struts的地方，都可能易受此类攻击。

目前已被证实易受影响的服务器，已波及苹果、亚马逊、Cloudflare、推特、Steam、百度、网易、腾讯、Elastic等科技巨头。

庆幸的是，尽管另有成千上万的其它组织尚未列出，但在致外媒的一份声明中，Cloudflare表示其已给系统打上了更新补丁，且尚未发现任何有被利用的证据。

此外《我的世界》游戏开发商Mojang工作室已通过紧急发布的安全更新而修复了该错误。

Apache软件基金会也于今日发布了紧急安全更新，并为无法立即启用更新的客户提供了缓解方案。

美国国家安全局网络安全主管Robert Joyce证实，该机构开发的免费开源逆向工程工具GHIDRA也受到了影响：“由于广泛包含在软件框架中，Log4j是一个相当重大的漏洞利用威胁”。

新西兰计算机紧急响应小组（CERT）、德国电信CERT和Greynoise网络监控服务均发出警告——攻击者正在积极寻找易受Log4Shell攻击的服务器，约有100台不同的主机正在对互联网展开扫描。

最后，HackerOne高级安全技术专家Kayla Underkoffler指出——随着开源软件在全球关键供应链中所占的比例越来越大，其遭遇此类攻击威胁的位面也在与日俱增。