据外电安全媒体报道，黑客正在利用Java日志库Log4J的严重安全漏洞，抓住每分钟的的时间攻击某些有价值的服务器。

Log4j 缺陷（现在也被称为“Log4Shell”）是一个严重的零日漏洞 ( CVE-2021-44228 )， 于 12 月 9日首次被曝光，它可以允许未经身份验证的远程代码执行和访问远端服务器。

几乎所有行业都受到该漏洞影响，漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。

据openEuler消息，欧拉开源社区已经修复Log4j高危安全漏洞(CVE-2021-44228)并发布安全公告，用户可通过更新openEuler 20.03 LTS SP1/SP2 Log4j的安全补丁修复该漏洞。

Log4j 用于多种形式的企业和开源软件，包括云平台、Web 应用和电子邮件服务，这意味着大量运营的软件都可能因该漏洞而面临严重风险。

攻击者开始在整体扫描互联网，寻找Log4J的“肉机”实例，有安全平台指出，有的站点每分钟超过1000次以上的递归扫描。有数十万次使用Log4J漏洞进行代码执行尝试，包括搜索漏洞扫描。

已经有攻击者试图利用 Log4j 漏洞安装加密货币挖掘的恶意软件。也有报道称，包括 Mirai、Tsunami 和 Kinsing 在内的几个僵尸网络也正在尝试利用它。

微软的研究员警告说，利用 Log4j 漏洞包括一系列加密货币相关和恶意软件，它们在易受攻击的系统上安装 Cobalt Strike ，用来窃取用户名和密码。

虽然网络犯罪分子试图利用 Log4j 漏洞安装挖币软件，看起来是一个相对低级别的威胁，但更高级别、更危险的网络攻击者很可能会尝试跟进。

高级别的攻击者会试图利用这些噪音来攻击各种高价值的单位，比如银行、国家安全相关关键基础设施等目标。

虽然 Log4j 安全问题最近才被曝光，但有证据表明，在公开披露之前，攻击者已经利用该漏洞一段时间了——这一个流行多年，被广泛使用但几乎没人维护的开源项目这次彻底暴露在人们的面前。

Log4j 维护者称他自己有全职的软件开发工作，只能在空闲时间维护该项目，他也想全职维护开源项目，但目前为止只有三个人赞助了 Log4j。

目前使用 Log4j 项目的知名企业包括苹果和微软等大公司。有人主张，如果一家企业使用了一个开源项目但不想自己维护一个版本，那么它有道德上的责任赞助和支持项目的维护者。

编辑：场长

说明：综合自 ZDNet /Slashdot