上周五,一个堪称“核弹”级别的软件漏洞被公开,并迅速引爆全球,不知多少程序员被迫半夜起床敲代码修bug。
本周一,A股网络安全指数涨近1%,概念股普涨。截至发稿,启明信息涨停,飞利信涨超8%,奇安信涨超6.7%。
该漏洞来自Apache Log4j,是一个基于Java的日志记录工具,由阿里云安全团队于上月末首次发现。攻击者利用该漏洞,可以在未授权的情况下远程执行代码,综合评级为“高危”。而Apache是当前全球最流行的跨平台Web服务器之一。
具体来看,暴露在该漏洞下的全球企业可能会超过70%,所有互联网巨头几乎无一幸免,包括苹果、亚马逊、谷歌、微软、百度、腾讯、网易、京东、推特等等。其危害程度之高,影响范围之大,堪比2017年的“永恒之蓝”病毒。当时该病毒至少波及了全球150个国家,勒索超过30万名用户。
该漏洞的执行非常简易,比如在游戏聊天框或网页搜索框中发送包含触发指令的信息,甚至修改iPhone名称,都可以触发漏洞,劫持目标用户。
用网络安全公司mandiant的CTO Charles Carmakal的话说,该漏洞“可能是过去10年中最糟糕的漏洞”。而美国政府所属的网络安全局局长Jen Easterly更是在上周五的一份声明中明确指出,这个漏洞带来了“严重”的风险。漏洞扫描软件Tenable公司更表示,每秒至少3个系统报告受到该漏洞影响。
对于这个史诗级漏洞,目前尚未有统一解决办法。更糟的是,已经有担忧在发酵,称该漏洞带来的危机可能要持续几个月,甚至几年。