三是因为其利用门槛低 。 以最先受到影响的游戏《我的世界》为例 ， 攻击者只需在游戏聊天中 ， 发送一条带触发指令的消息 ， 就可以对收到该消息的用户发起攻击 。 甚至有网友证实 ， 更改iPhone名称就可以触发漏洞 。 这就使得一些刚入门的初级攻击者都可以利用该漏洞大肆搞破坏 。
因此 ， 受Log4Shell漏洞波及的企业组织数量众多 ， 据网络安全解决方案供应商Check Point粗略估算 ， 全球超过40%的企业网络都遭遇了漏洞利用攻击 。 一些政府组织和重要机构的网站和信息系统也没能幸免 。 2021年12月23日 ， 比利时政府官员公开承认 ， 由于遭到Log4Shell漏洞网络攻击 ， 比利时国防部的部分计算机网络被迫处于关闭状态 。
各方响应
面对突发的漏洞攻击 ， 阿帕奇软件基金会、各大IT巨头、安全厂商以及一些政府部门纷纷迅速作出积极响应 。
漏洞事件的主要当事人阿帕奇软件基金会Log4j2项目于2021年12月相继发布2.15.0、2.16.0和2.17.0版本 ， 对漏洞进行积极修补 ， 并对暂不能升级的旧版提供了临时应对方案 。
中国主要的安全厂商知道创宇、奇安信等也迅速响应 ， 一是针对漏洞利用攻击给出漏洞排查方案、安全应急解决方案等；二是快速升级安全产品 ， 提升针对Log4Shell漏洞攻击的防御能力 。
国外厂商反应同样迅速 。 2021年12月10日 ， 亚马逊发出安全警告称 ， “正积极监控该问题 ， 并已在寻求解决方案”；IBM、Red Hat、甲骨文、VMware等知名科技公司也宣称正在部署补丁；Apple尽管没有官方回应 ， 但根据12月11日的测试 ， 原本受到影响的iCloud似已修复 。
各国政府部门也在接到漏洞报告后积极协调各方资源 ， 开展应急响应 。 根据中国工信部官网2021年12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》 ， 在收到有关网络安全专业机构报告后 ， 工信部立即组织有关网络安全专业机构开展漏洞风险分析研判 ， 通报督促阿帕奇软件基金会及时修补该漏洞 ， 向行业单位进行风险预警 。
美国网络安全与基础设施安全局要求联邦机构在2021年12月24日之前解决Log4j2库中的Log4Shell漏洞 ， 防止有人利用该漏洞攻击政府系统 。 美国联邦贸易委员会也警告称 ， 如果美国企业未能保护客户数据免受Log4Shell的影响 ， 将面临法律后果 。
此外 ， 澳大利亚、加拿大、新西兰、英国等多国的机构相继发出针对Log4Shell漏洞的警告 ， 并密切关注事态发展 。
鉴于此次Log4Shell漏洞的影响巨大 ， 阿帕奇 Web服务器的主要开发人员布赖恩·贝伦多夫专门发表文章 ， 呼吁多个开源基金会紧密合作 ， 防止此类问题再次发生 。
【从宇宙级漏洞Log4Shell看软件供应链安全】构筑数字世界安全基石
当今世界已经在高速数字化转型的轨道中飞奔 ， 关于数字政府、智慧城市、数字经济甚至元宇宙的美好描绘 ， 让每个人都对未来心驰神往 。 但一个小小的日志组件漏洞 ， 却给IT界带来一场不啻于地震的震荡 。 未来数字社会的安全是那么脆弱吗？又该如何筑牢未来数字社会的安全基石？
人们目前生活的物理世界是由钢筋水泥金属玻璃等建筑材料所构建的 ， 与我们互动交互的数字世界却是由各种软件支撑下的服务所构建的 。 传统的商品需要经过原材料采购、配件生产、产品组装、物流配送和终端销售等多个环节 ， 通常被称为供应链；软件作为一种特殊的商品 ， 同样要经历开发、分发、部署和升级更新等多个环节 ， 通常被称为软件供应链 。
物理世界中的钢筋水泥等材料如果存在安全隐患 ， 将会产生渗水、沉降甚至坍塌等风险 。 同样地 ， 如果软件存在安全漏洞 ， 会导致网络安全风险 。 特别是软件标准化、组件化和大规模复用模式 ， 一旦产生安全漏洞 ， 安全风险的影响范围和危害程度将被急剧放大 。 从这个意义上说 ， 本次Log4Shell漏洞就是一个典型的供应链安全事件 。