一個被全世界廣泛使用的軟體「Log4j」出現重大安全漏洞,資安公司Tenable警告是這十年以來最嚴重的單一漏洞,駭客可能藉此直接進入網頁伺服器存取資料,甚至遠端遙控伺服器。微軟則表示,追蹤到中國、伊朗、北韓、土耳其等國家政府支持的駭客團體,試圖透過這個漏洞發動攻擊。
由於Log4j是一個基於Java程式語言設計的軟體,因此所有以Java為基礎的App和伺服器都有可能因為這個漏洞而遭遇駭客攻擊。目前確認容易被鎖定的公司包括蘋果、亞馬遜、推特、百度、騰訊、特斯拉、IBM等知名企業。
微軟15日在官網發布公告指出,觀察到伊朗駭客團體「PHOSPHORUS」試圖取得並修改Log4j的漏洞,來自中國的駭客團體「HAFNIUM」也試圖利用該漏洞攻擊虛擬基礎設施,來擴大攻擊目標。
美國國土安全部網路安全暨基礎安全局(CISA)警告了該漏洞的嚴重性,並表示全球可能有數億台裝置因此遭受波及。目前Log4j已經發布了更新版本來解決這個問題,CISA呼籲所有機構應儘速安裝。
