Log4Shell 潜在的攻击面仍然很重要

Log4Shell有时被称为使用Log4j句柄，以发现它的 Apache Java 库的名称命名，被许多分析师和安全专家称为十年来的软件漏洞。该漏洞是在 2021 年底发现的。四个月后，数十次警告和警报过后，就 Log4Shell 而言，全球 IT 环境到底有多安全？

Log4Shell 报告不乐观

安全公司 Rezilion 的一组研究人员进行了一项分析，试图估计仍然容易受到 Log4Shell 攻击的系统的潜在攻击面。该漏洞位于在 Java 上运行的广受欢迎的 Apache 日志库的旧版本中。 Rezilion 研究小组的发现并不令人鼓舞。

正如人们所预料的那样，Rezilion 也希望，由于在 Log4Shell 的发现之后发布的源源不断的媒体报道、文章和警报，绝大多数运行易受攻击软件的实例早已被修补。然而，该团队的发现并不像他们希望的那样积极。

Rezilion 关于潜在攻击面分析的报告称全球 Log4Shell 情况“远非理想”。使用专门的 Shodan 引擎，该团队扫描了易受 Log4Shell 攻击的过时版本的软件和服务器。结果是惊人的 90,000 个漏洞点暴露在互联网上。根据研究小组的说法，这个数字虽然已经很重要，但与 Log4Shell 的全部潜在攻击面相比，它只是“冰山一角”。

由于微软拥有的游戏非常受欢迎，Minecraft 服务器在研究报告中被单独列为一个完全独立的类别。

Log4Shell 长游戏

威胁攻击者在发现漏洞后数小时内就开始四处搜寻，因为他们知道运行包含该漏洞的 Java 日志框架的大量设备将需要大量时间来修补。自漏洞被发现以来，每周都会涌现出新的方法和尝试以不同方式处理漏洞。

虽然这种广泛存在的漏洞的攻击面可能永远不会完全消失，但数字仍然令人担忧，预计未来几个月会有更多利用 Log4Shell 的尝试。