沙利文|网络攻击者无需密码就能访问网络服务器！中国程序员发现“近年来最大计算机漏洞”_

（观察者网讯）据美联社12月11日报道，中国阿里云安全团队在Web服务器软件阿帕奇（Apache）下的开源日志组件Log4j内，发现一个漏洞Log4Shell。这一漏洞的存在，可以让网络攻击者无需密码就能访问网络服务器。
网络安全专家认为，这一漏洞潜在危害极大，甚至可能是“计算机历史上最大的漏洞”。包括苹果、三星以及Steam在内的云服务都可能受到影响。阿帕奇软件基金会已将这一漏洞的严重性列为最高。

文章插图
阿里云团队12月10日发布的最新预警
事件起始于上月24日，中国阿里云团队的一名成员向阿帕奇披露了这一漏洞。随后，奥地利和新西兰官方的计算机应急小组率先对这一漏洞进行了预警。
新西兰方面称，该漏洞正在被“积极利用”，并且概念验证代码也已被发布。
这次曝光的漏洞，存在于Java日志框架的Log4j，被广泛应用于各种应用程序和网络服务，是一种程序内的纪录工具，保存执行活动的过程，方便在出现问题时进行检查。几乎每个网络安全系统都会利用某种日志框架进行纪录，这也使得Log4j影响广泛。
网络安全管理公司Cloudflare首席安全官乔·沙利文（Joe Sullivan）表示，这一漏洞允许恶意攻击者“远程执行代码”，以获取对其他系统的访问，鉴于Log4j软件被广泛使用，这可能是迄今为止“最大的漏洞”。
到了本月10日，警报进一步扩大。当天，微软旗下游戏《我的世界》（Minecraft）发布公告称，游戏的Java版容易受到攻击，并建议用户立即采取措施解决安全问题。玩家可以通过在游戏聊天框中粘贴信息的方式，在其他玩家的电脑上执行程序。

文章插图
同一天，沙利文称公司在“过去6到10小时内”发现，使用这一漏洞的恶意用户激增。
数据安全平台LunaSec的研究人员发现，有证据表明Steam、以及苹果的云服务受到了影响，而帕洛阿尔托网络公司（Palo Alto Network）在一篇博文中指出，推特和亚马逊也受到了攻击。
专家们严正警告了本次漏洞的潜在危害性。
网络安全公司Crowdstrike高级副主席迈耶斯（Adam Meyers）表示，在美国时间10日早上，黑客已经将漏洞“完全武器化”，还开发出利用该漏洞工具向外分发。他形容称“互联网当下正冒火”，不法分子和黑客正争先恐后地利用这个漏洞，而各大机构网络安全人员则争分夺秒地努力修补。
另一家网络安全公司Tenable的首席执行官阿米特·约兰（Amit Yoran）称，Log4Shell是“过去十年内最大也是最关键的单一漏洞”，甚至可能是“现代计算机历史上最大的漏洞”。
美联社则评论称，这一漏洞可能是近年来发现的最严重的计算机漏洞。Log4j在全行业和政府使用的云服务器和企业软件中“无处不在”。除非被修复，否则犯罪分子、间谍乃至编程信守，都可以轻易使用这一漏洞进入内部网络，窃取信息、植入恶意软件和删除关键信息等。
阿帕奇软件基金基金会，已经将这一漏洞的严重性列为10级中的最高。

文章插图
国外社交媒体用户以表情包的形式，说明Log4j的重要性
目前，各大公司已经开始着手修复这一漏洞。根据世界最大网络安全公司迈卡菲（McAfee）的说法，最重要和最完整的缓解方法，是将log4j更新到稳定版本2.15.0。
未来，迈卡菲还计划使用额外的服务如（DNS）来测试该漏洞的变化。我们可能会根据结果相应地更新本文档。同时，迈卡菲企业已经为利用NSP（网络安全平台）的客户发布了一个网络签名KB95088，该签名可检测攻击者利用漏洞的企图。