近日，被全球广泛应用的组件Apache Log4j被曝出一个已存在在野利用的高危漏洞。攻击者仅需一段代码就可远程控制受害者服务器，多家公司受到影响，不少业内人士将其形容为“核弹级漏洞”。

目前，几乎所有行业都受到该漏洞影响，包括全球多家知名科技公司、电商网站等，漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。有工程师在社交网络表示：“凌晨就开始收到利用Apache log4j2漏洞的攻击，安全工程师应急了一晚上。果然Java的每一个漏洞都是核弹级别的，互联网远比我们想象的脆弱，这就是一场抢时间的攻防大战。已经在紧急修复外网应用了，不说了，周末加班吧。”

记者从奇安信集团了解到，根据安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求。奇安信已于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍，12月9日深夜，仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

经专家研判，该漏洞影响范围极大，且利用方式十分简单，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者可以远程控制用户受害者服务器，90%以上基于java开发的应用平台都会受到影响。

奇安信表示，Apache Log4j RCE 漏洞之所以能够引起安全圈的极大关注，不仅在于其易于利用，更在于它巨大的潜在危害性。当前几乎所有的技术巨头都在使用该开源组件，它所带来的危害就像多米诺骨牌一样，影响深远。我们首先需要做的是梳理自身产品中所使用的软件资产，检测其中是否使用了开源组件、影响哪些资产、影响程度如何，判断受影响资产应修复到哪个版本，其它关联组件是否受影响等，最后着手修复和防御后续类似攻击。

安全专家还表示，开源软件安全治理是一项任重道远的工作，需要国家、行业、用户、软件厂商都重视起来并投入才能达到良好效果。

文/北京青年报记者 温婧
编辑/樊宏伟