不时地，我们会看到新的漏洞利用出现并证明它们在坏人手中会产生多大的问题。当我们谈论零日漏洞时，情况就更加严重了。在 Apache 的 Log4j 日志库中发现了最新的漏洞。在线共享了一个概念验证漏洞。它揭示了远程代码执行攻击的真正潜力，并影响了网络上的一些最大的服务。该漏洞已被确定为“被主动利用”，带有“Log4Shell”的绰号，是近年来公开的最危险的漏洞之一。它基本上可以影响从 Apple 设备到简单的应用程序和游戏(如 Minecraft)的所有内容。

对于那些不知道的人，Log4j 是一种流行的基于 Java 的日志记录包。Apache Software Foundation 是其背后的开发人员。这是一个 CVE-2021-44228 补丁，它影响版本 2.0-beta9 和版本 2.14.1 之间的所有 Log4j 版本。它已在库的最新版本 2.15.0 中进行了修补。但是，目前许多服务和应用程序都依赖于 Log4j。这从 Apple 设备到像 Minecraft 这样的游戏。Steam 和 Apple iCloud 等云服务也在易受攻击的名单上，我们假设它也适用于使用 Apache Struts 的每个人。即使更改 iPhone 的名称也能触发 Apple 服务器上的漏洞。

阿里云安全团队的陈兆军最先发现了这个问题。根据该报告，任何记录用户控制字符串的服务目前都容易受到攻击。用户控制字符串的渴望是系统管理员的常见做法。它有助于发现潜在的平台滥用。此外，他们使用它来清理用户输入并确保不会对软件造成任何危害。

该漏洞利用带有“Log4Shell”绰号，因为它是一个未经身份验证的 RCE 漏洞，允许完全接管系统。网上已经有一个概念验证漏洞。通过使用 DNS 日志记录软件来证明它的工作原理非常容易。

根据Bleeping Computer的引述，勒索软件攻击者将立即开始利用此漏洞。事实上，恶意行为者已经在大规模扫描网络，试图找到要利用的服务器。它类似于其他备受瞩目的漏洞，包括 Heartbleed 和 Shellshock。值得注意的是，根据LunaSec 的说法，一些高于 6u211、7u201、8u191 和 11.0.1 的 Java 版本在理论上受到的影响较小，尽管黑客仍然可以绕过这些限制。