一時間，這個高危漏洞引發全球網路安全震蕩！ CVE-2021-44228，又名Log4Shell 。 紐西蘭計算機緊急回應中心（CERT）、美國國家安全局、德國電信CERT、中國國家互聯網應急中心（CERT/CC）等多國機構相繼發出警告。

已證實伺服器易受到漏洞攻擊的公司包括蘋果、亞馬遜、特斯拉、谷歌、百度、騰訊、網易、京東、Twitter、 Steam等。 據統計，共有6921個應用程式都有被攻擊的風險，其中《我的世界》首輪即被波及。

其危害程度之高，影響範圍之大，以至於不少業內人士將其形容為”無處不在的零日漏洞”。

這究竟是怎麼一回事？

Java程式師都懵了

這個漏洞最早是由阿里員工發現。 11月24日，阿裡雲安全團隊向Apache報告了Apache Log4j2遠程代碼執行（RCE）漏洞。 12月9日，更多利用細節被公開。

Apache，是當前全球最流行的跨平臺Web伺服器之一。

而作為當中的開源日誌元件Apache Log4j2，被數百萬基於Java的應用程式、網站和服務所使用。

據報導，此次漏洞是由於Log4j2在處理程式日誌記錄時存在JNDI注入缺陷。

（JNDI：Java命名和目錄介面，是Java的一個目錄服務應用程式介面，它提供一個目錄系統，並將服務名稱與對象關聯起來，從而使得開發人員在開發過程中可以使用名稱來訪問物件。 ）

攻擊者可利用該漏洞，向目標伺服器發送惡意數據，當伺服器在將數據寫入日誌時，觸發Log4j2元件解析缺陷，進而在未經授權的情況下，實現遠端執行任意代碼。

以最先受到影響的《我的世界》為例，攻擊者只需在遊戲聊天中，發送一條帶觸發指令的消息，就可以對收到該消息的使用者發起攻擊。

目前已經有網友證實，更改iPhone名稱就可以觸發漏洞。

還有網友試了試百度搜索框、火狐瀏覽器里輸入帶${的特殊格式請求，就能造成網頁劫持。

而像IT通信（互聯網）、工業製造、金融、醫療衛生、運營商等各行各業都將受到波及，全球互聯網大廠、遊戲公司、電商平臺等夜都有被影響的風險。

其中甚至包括美國國家安全局的逆向工程工具GHIDRA。

因此也就不奇怪，在9號當晚公開那天聽說不少程式師半夜起來敲代碼。

網路監控Greynoise表示，攻擊者正在積極尋找易受Log4Shell攻擊的伺服器，目前大約有100個不同的主機正在掃描互聯網，尋找利用Log4j漏洞的方法。

考慮到這個庫無處不在、帶來的影響以及觸發難度較低，安全平臺LunaSec將其稱為Log4Shell漏洞，甚至警告說，任何使用Apache Struts的人都”可能容易受到攻擊”。

不少網友對此驚歎於這史詩級別的漏洞，並擔心恐要持續幾個月甚至幾年。

如何解決？

2021年12月9日，Apache官方發佈了緊急安全更新以修復該遠程代碼執行漏洞。 但更新后的Apache Log4j 2.15.0-rc1 版本被發現仍存在漏洞繞過。

12月10日淩晨2點，Apache再度緊急發佈log4j-2.15.0-rc2版本。

與此同時，國家互聯網應急中心還給出了如下措施以進行漏洞防範。

1）添加jvm啟動參數-Dlog4j2.formatMsgNoLookups=true;

2）在應用classpath下添加log4j2.component.properties配置檔，檔內容為log4j2.formatMsgNoLookups=true;

3）JDK使用11.0.1、8u191、7u201、6u211及以上的高版本;

4）部署使用第三方防火牆產品進行安全防護。