蘋果iCloud、推特和《我的世界》均易受Log4Shell零日漏洞影響

近日有報道稱，包括蘋果iCloud、推特、Cloudflare、《我的世界》、以及Steam等在內的諸多熱門服務，均易受到一個零日漏洞的影響。Luna Sec安全研究人員將這個存在于流行的Java日志庫中的零日漏洞利用稱作“Log4Shell”，且已在Apache Log4j中發(fā)現(xiàn)。后者是一款開源的日志實用程序，且被大量應用程序、網(wǎng)站和相關服務所采用。

（來自：Luna Sec）

起初，研究人員僅在微軟旗下的《我的世界》中發(fā)現(xiàn)了“Log4Shell”。但由于Log4j在幾乎所有基于Java的企業(yè)應用程序/服務器中“無處不在”，這一零日漏洞的影響范圍還是難以估量的。

Luna Sec安全研究人員在一篇博客文章中警告稱：任何使用Apache Struts的地方，都可能易受此類攻擊。

目前已被證實易受影響的服務器，已波及蘋果、亞馬遜、Cloudflare、推特、Steam、百度、網(wǎng)易、騰訊、Elastic等科技巨頭。

慶幸的是，盡管另有成千上萬的其它組織尚未列出，但在致外媒的一份聲明中，Cloudflare表示其已給系統(tǒng)打上了更新補丁，且尚未發(fā)現(xiàn)任何有被利用的證據(jù)。

此外《我的世界》游戲開發(fā)商Mojang工作室已通過緊急發(fā)布的安全更新而修復了該錯誤。

Apache軟件基金會也于今日發(fā)布了緊急安全更新，并為無法立即啟用更新的客戶提供了緩解方案。

美國國家安全局網(wǎng)絡安全主管Robert Joyce證實，該機構開發(fā)的免費開源逆向工程工具GHIDRA也受到了影響：“由于廣泛包含在軟件框架中，Log4j是一個相當重大的漏洞利用威脅”。

新西蘭計算機緊急響應小組（CERT）、德國電信CERT和Greynoise網(wǎng)絡監(jiān)控服務均發(fā)出警告——攻擊者正在積極尋找易受Log4Shell攻擊的服務器，約有100臺不同的主機正在對互聯(lián)網(wǎng)展開掃描。

最后，HackerOne高級安全技術專家Kayla Underkoffler指出——隨著開源軟件在全球關鍵供應鏈中所占的比例越來越大，其遭遇此類攻擊威脅的位面也在與日俱增。