微軟、蘋果都受波及！日誌框架Apache Log4j爆漏洞，堪稱近10年最大資安威脅

廣泛受到企業、組織使用的日誌框架Log4j，被資安人員發現存在惡性重大的安全漏洞，可能導致全球上百萬應用程式面臨駭客攻擊風險，牽涉微軟、蘋果、特斯拉等諸多科技巨頭。

Log4j是Apache軟體基金會下的一個專案，基於Java開發而成，多被Java開發人員用於查找錯誤。由於使用範圍極為廣泛，從雲端服務到企業軟體中均有使用，這個被稱作Log4Shell的漏洞也被認為是有史以來最嚴重的資安漏洞。

一串指令就能入侵伺服器，Log4j爆出史上最嚴重漏洞

曾阻止綁架軟體WannaCry的資安研究人員馬庫斯．霍金斯（Marcus Hutchins）也在推特上評論，「Log4j的漏洞非常嚴重，上百萬個應用程式使用Log4j來紀錄，駭客只要一串指令就能發動攻擊。」

他在文中以Minecraft為例，駭客只要在對話框貼入一串訊息，就能遠端執行伺服器上的程式碼。

根據《衛報》報導，資安公司Tenable執行長阿米特．約蘭（Amit Yoran）表示，這不僅是過去10年來規模最大、最嚴重的漏洞，還可能是電腦史上最龐大的漏洞。

約蘭指出，Log4j漏洞影響的規模之大，導致在使用Tenable防護程式的用戶中，每秒就有至少3個系統回報受到該漏洞威脅。

Apache軟體基金會也將Log4j漏洞的嚴重程度，評為最高的10分，任何人都可以從存在該漏洞的服務獲得電腦的完整訪問權限。

資安公司Cloudflare技術長約翰．格拉漢．康寧（John Graham-Cumming）也指出，過去10年裡只有兩個漏洞的嚴重程度能夠與Log4Shell相提並論。

這個漏洞會如此危險，是因為它讓駭客不必透過密碼，就能入侵網路伺服器。駭客可以任意在伺服器端植入惡意軟體、竊取珍貴數據，或者竄改內部的內容等，且門檻極低。

漏洞牽涉範圍廣，外界擔憂駭客攻擊可能將增加

該漏洞最初由阿里巴巴旗下雲端資安團隊所發現，並在11月24日向Apache軟體基金會回報，雖然該基金會已經推出修復程式，但還不能放心，使用Log4j日誌框架的服務眾多，必須由所有者自行更新才能修補漏洞。

已有資安人員在GitHub上，列出經確認面臨Log4j漏洞威脅的大型企業，從蘋果、亞馬遜、特斯拉、Google到Steam、LinkedIn、Webex等，受害範圍非常廣泛。

目前微軟已經為Minecraft用戶發布更新，聲稱服務完成修復，思科也在官網發布相關文章，教導開發人員如何在系統中尋找該漏洞。Steam母公司Valve發言人道格．蘭巴爾迪（Doug Lombardi）則回應，工程師已立即檢查系統，最終認為Steam沒有被攻擊的風險。

雖然目前還沒有傳出利用Log4j漏洞發動攻擊的確切案例，但由於Log4j使用程度之廣，外界估計在爆出消息後的這幾天內，恐怕針對各個伺服器的攻擊就會大量增加。

Cloudflare聲稱，他們也積極為客戶提供保護措施，「但不管我們怎麼做，都沒辦法完全彌補Log4j的漏洞。」若要完全防範威脅，仍得依賴各服務所有者更新Log4j版本。

資料來源：The Verge、Guardian、LunaSec

責任編輯：侯品如

更多報導
金管會再修法，擴大要求千家上市櫃公司設資安長、資安專責單位
宏碁屢遭駭客攻擊，陳俊聖：台灣資安人才不足規劃成立認證學院

◤果粉快搶◢
Apple新品直降千元 限搶3000刷卡金
iPhone13 pro Max 限時下殺中
AirPods x 犀牛盾 超值組合推薦
新色上市好吸睛
蘋果新品預購 優惠專區逛起來