同一天,沙利文称公司在“过去6到10小时内”发现,使用这一漏洞的恶意用户激增。
数据安全平台LunaSec的研究人员发现,有证据表明Steam、以及苹果的云服务受到了影响,而帕洛阿尔托网络公司(Palo Alto Network)在一篇博文中指出,推特和亚马逊也受到了攻击。
专家们严正警告了本次漏洞的潜在危害性。
网络安全公司Crowdstrike高级副主席迈耶斯(Adam Meyers)表示,在美国时间10日早上,黑客已经将漏洞“完全武器化”,还开发出利用该漏洞工具向外分发。他形容称“互联网当下正冒火”,不法分子和黑客正争先恐后地利用这个漏洞,而各大机构网络安全人员则争分夺秒地努力修补。
另一家网络安全公司Tenable的首席执行官阿米特·约兰(Amit Yoran)称,Log4Shell是“过去十年内最大也是最关键的单一漏洞”,甚至可能是“现代计算机历史上最大的漏洞”。
美联社则评论称,这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j在全行业和政府使用的云服务器和企业软件中“无处不在”。除非被修复,否则犯罪分子、间谍乃至编程信守,都可以轻易使用这一漏洞进入内部网络,窃取信息、植入恶意软件和删除关键信息等。
阿帕奇软件基金基金会,已经将这一漏洞的严重性列为10级中的最高。
国外社交媒体用户以表情包的形式,说明Log4j的重要性
目前,各大公司已经开始着手修复这一漏洞。根据世界最大网络安全公司迈卡菲(McAfee)的说法, 最重要和最完整的缓解方法,是将log4j更新到稳定版本2.15.0。
未来,迈卡菲还计划使用额外的服务如(DNS)来测试该漏洞的变化。我们可能会根据结果相应地更新本文档。同时,迈卡菲企业已经为利用NSP(网络安全平台)的客户发布了一个网络签名KB95088,该签名可检测攻击者利用漏洞的企图。
12月10日,阿里云安全团队发布公告称,发现阿帕奇Log4j 2.15.0-rc1版本存在漏洞绕过,请及时更新至 Apache Log4j 2.15.0 正式版本。
