國家互聯(lián)網(wǎng)應(yīng)急中心：征集軟硬件產(chǎn)品或服務(wù)受阿帕奇漏洞影響情況

12月13日晚間，國家互聯(lián)網(wǎng)應(yīng)急中心公告稱，為進(jìn)一步摸清阿帕奇遠(yuǎn)程代碼執(zhí)行漏洞對我國的影響程度，建議廠商積極自查并報(bào)送發(fā)現(xiàn)的軟硬件產(chǎn)品或服務(wù)受影響情況。

近日，被全球廣泛應(yīng)用的日志組件Apache Log4j2被曝出一個(gè)在野利用的高危漏洞。對此，國家互聯(lián)網(wǎng)應(yīng)急中心于12月13日晚間發(fā)布公告稱，由于Apache Log4j2在框架組件和軟硬件產(chǎn)品二次開發(fā)中應(yīng)用較為廣泛，建議各廠商單位對開發(fā)的軟硬件產(chǎn)品和服務(wù)進(jìn)行積極自查，重點(diǎn)檢查對Apache Log4j2組件的引用情況，若發(fā)現(xiàn)受此漏洞影響需立即修復(fù)，并通知產(chǎn)品用戶及時(shí)更新。同時(shí)，國家互聯(lián)網(wǎng)應(yīng)急中心向廠商征集軟硬件產(chǎn)品或服務(wù)受影響情況，以判斷漏洞對我國的影響程度。

記者從360公司處獲悉，360安全團(tuán)隊(duì)在檢測近期廣泛流行的Apache Log4j2漏洞威脅時(shí)發(fā)現(xiàn)多起攻擊事件，尤其是微軟“我的世界”游戲，短期內(nèi)被黑客發(fā)起大量攻擊，最高峰時(shí)有超過10000個(gè)玩家遭到攻擊，360對此做出預(yù)警通報(bào)。

360安全專家告訴記者，此次出現(xiàn)漏洞的Apache Log4j2是阿帕奇軟件基金會(Apache)管理的一款基于Java的日志記錄工具，被廣泛應(yīng)用于各種常見的Web服務(wù)中，90%以上基于Java開發(fā)的應(yīng)用平臺都會直接或間接使用該工具。由于該組件使用范圍廣泛，此次爆發(fā)的漏洞風(fēng)險(xiǎn)危及了IT通信(互聯(lián)網(wǎng))、高校、工業(yè)制造、金融、政府、醫(yī)療衛(wèi)生、運(yùn)營商等幾乎所有行業(yè)。其波及面和威脅程度，均堪比2017年的“永恒之藍(lán)”。

專家表示，攻擊者能夠利用該漏洞直接在被攻擊設(shè)備上執(zhí)行代碼，進(jìn)而控制設(shè)備來進(jìn)行竊取數(shù)據(jù)，投遞勒索病毒、挖礦木馬等，屬于威脅程度最高的一類漏洞。

記者梳理發(fā)現(xiàn)，截至12月14日，京東、斗魚、網(wǎng)易、深信服等多家互聯(lián)網(wǎng)及安全廠商應(yīng)急響應(yīng)中心表示，鑒于該漏洞的影響范圍較大，業(yè)務(wù)自查及升級修復(fù)需要一定時(shí)間，暫不接收Log4j2遠(yuǎn)程代碼執(zhí)行漏洞的通知。

目前，國內(nèi)多家安全廠商已發(fā)布針對Apache Log4j2漏洞的企業(yè)和個(gè)人用戶修復(fù)方案。360安全團(tuán)隊(duì)表示， 360安全衛(wèi)士、360終端安全等系統(tǒng)目前支持了對該漏洞的攔截，同時(shí)更新了高危漏洞免疫工具緩解類似攻擊。

值得一提的是，Apache官網(wǎng)稱Apache Log4j2漏洞是阿里云安全團(tuán)隊(duì)最早發(fā)現(xiàn)的。11月24日，阿里云安全團(tuán)隊(duì)就向Apache官方報(bào)告了Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。目前，漏洞利用細(xì)節(jié)已公開，Apache官方已發(fā)布補(bǔ)丁修復(fù)該漏洞。業(yè)內(nèi)專家指出，此次Log4j2漏洞發(fā)現(xiàn)，體現(xiàn)出國內(nèi)安全研究的技術(shù)水平有了極大提升。但網(wǎng)絡(luò)安全保護(hù)尚未在國內(nèi)引起足夠重視，企業(yè)普遍存在安全規(guī)范為業(yè)務(wù)讓行的情況。希望這次漏洞事件，能夠引起大家對網(wǎng)絡(luò)安全的重視。

（文章來源：中國證券報(bào)·中證網(wǎng)）

標(biāo)簽： 互聯(lián)網(wǎng) 應(yīng)急 中心 漏洞 產(chǎn)品 阿帕奇 國家 服務(wù) 情況 公告