工信部表示,这一漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。工信部提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本,以降低网络安全风险。
此前McAfee Enterprise和FireEye的高级威胁研究主管表示,Log4Shell的破坏力和Shellshock、Heartbleed和EternalBlue是同一个级别。有消息报道,攻击者几乎立即开始利用该漏洞进行非法的加密货币挖掘,或利用互联网上的合法计算资源来产生加密货币以获取经济利益,有关人士表示该漏洞的影响可能是巨大的,因为它是可蠕虫式的,可以建立自己的传播。即使有了补丁,也有几十个版本的脆弱组件。由于已经观察到的攻击数量巨大,可以假定许多组织已经被攻破,并需要采取事件响应措施。
