Apache Log4j2引发严重安全漏洞，堪称“核弹级”漏洞！

昨日夜间，Apache Log4j2引发严重安全漏洞，疑似很多公司的服务器被扫描攻击，一大批安全人员深夜修bug，堪称“核弹级”漏洞。

经专家研判，该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90%以上基于java开发的应用平台都会受到影响。

log4j是Apache的一个开源项目, 是一个基于Java的日志记录框架。Log4j2是log4j的后继者，被大量用于业务系统开发，记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。

据网友描述：“百度的主页搜索被黑了，所有Java同学起床修bug，影响很大”。

此次Log4j2 远程代码执行漏洞，已经被攻击者利用并公开扩散。触发条件：只要外部用户输入的数据会被日志记录，即可造成远程代码执行。

有网友表示：“可以说是灾难性的漏洞，比之前的fastjson和shiro还要严重，这个漏洞估计在之后三四年内还会继续存在”。

如果被攻击，影响的范围堪比2017年“永恒之蓝”病毒，当年的WannaCry勒索病毒，致使美国、英国、俄罗斯、中国等至少150个国家，30万名用户中招。

小编从奇安信集团了解到，根据安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求，已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍，12月9日深夜，仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

安全专家还表示，开源软件安全治理是一项任重道远的工作，需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。

天才黑客、前拼多多安全大牛Flanker也在微博中表示：”漏洞严重，建议排查所有系统依赖升级到log4j-2.15.0-rc1。业务系统可能没有直接引用，但是旁路的日志、大数据等Java体系生态中基本上都有，仍然会被打。”

据小编了解，2021年11月24日，阿里云安全团队向Apache官方报告了Apache Log4j2远程代码执行漏洞。

昨日，阿里云应急响应中心提醒用户尽快采取安全措施阻止漏洞攻击，并表示：Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。

有些厂家给出排查方式，用户只需排查Java应用是否引入 log4j-api , log4j-core 两个jar。若存在应用使用，极大可能会受到影响。

目前似乎尚无统一解决办法，有业内人士称正在等待官方修复补丁，保险起见选择版本回滚。纵观当前讨论态势，预计漏洞影响还在继续发酵当中。