近日曝出了一個被認為是近 10 年以來最嚴重的漏洞 Log4Shell,這個漏洞可讓黑客鑽入數以百萬計的應用程式、網站、網絡服務及平台等,包括 iCloud、Twitter、Minecraft 及 Steam 遊戲平臺等等。
根據 CVE-2021-44228 所指,此漏洞涉及開源日誌資料庫 Log4j,可說是程式內的紀錄工具,保存程式的活動過程,軟件管理員常會在出問題時在此進行檢查。Log4j 包含於不少軟件架構中,包括 Apache Struts2、Apache Druid、Apache Flink 等等。而 Log4j 是相當受歡迎的日誌工具,因此受影響的範圍相當之大。就連美國國安局、CloudFlare、騰訊、百度等大型網站服務也有使用此元件。
而黑客可利用這個漏洞,遠端執行程式碼,並攻擊伺服器,同時植入惡意代碼。而這個漏洞最先於 Minecraft 遊戲的伺服器中發現,專家亦表示黑客可透過聊天訊息來觸發漏洞。而資安公司 GreyNoise 於網上表示,最近檢測大量伺服器正在網上搜索易受此漏洞攻擊的設備。由此推斷可能有黑客準備發動大範圍的攻擊。
