近日有報導稱，包括蘋果 iCloud、推特、Cloudflare、《我的世界》、以及 Steam 等在內的諸多熱門服務，均易受到一個零日漏洞的影響。 Luna Sec 安全研究人員將這個存在於流行的 Java 日誌庫中的零日漏洞利用稱作” Log4Shell” 且已在 Apache Log4j 中發現。 後者是一款開源的日誌實用程式，且被大量應用程式、網站和相關服務所採用。

（來自：Luna Sec）

起初，研究人員僅在微軟旗下的《我的世界》中發現了”Log4Shell”。 但由於 Log4j 在幾乎所有基於 Java 的企業應用程式 / 伺服器中”無處不在”，這一零日漏洞的影響範圍還是難以估量的。

Luna Sec 安全研究人員在一篇博客文章中警告稱：任何使用 Apache Struts 的地方，都可能易受此類攻擊。

目前已被證實易受影響的伺服器，已波及蘋果、亞馬遜、Cloudflare、推特、Steam、百度、網易、騰訊、Elastic 等科技巨頭。

慶幸的是，儘管另有成千上萬的其它組織尚未列出，但在致外媒的一份聲明中，Cloudflare 表示其已給系統打上了更新補丁，且尚未發現任何有被利用的證據。

此外《我的世界》遊戲開發商Mojang工作室已通過緊急發佈的安全更新而修復了該錯誤。

Apache 軟體基金會也於今日發佈了緊急安全更新，併為無法立即啟用更新的客戶提供了緩解方案。

美國國家安全局網路安全主管 Robert Joyce 證實，該機構開發的免費開源逆向工程工具 GHIDRA 也受到了影響：「由於廣泛包含在軟體框架中，Log4j 是一個相當重大的漏洞利用威脅」。

紐西蘭計算機緊急回應小組（CERT）、德國電信 CERT 和 Greynoise 網路監控服務均發出警告 —— 攻擊者正在積極尋找易受 Log4Shell 攻擊的伺服器，約有 100 台不同的主機正在對互聯網展開掃描。

最後，HackerOne 高級安全技術專家 Kayla Underkoffler 指出 —— 隨著開源軟體在全球關鍵供應鏈中所佔的比例越來越大，其遭遇此類攻擊威脅的位面也在與日俱增。