12月13日晚间，国家互联网应急中心公告称，为进一步摸清阿帕奇远程代码执行漏洞对我国的影响程度，建议厂商积极自查并报送发现的软硬件产品或服务受影响情况。

近日，被全球广泛应用的日志组件Apache Log4j2被曝出一个在野利用的高危漏洞。对此，国家互联网应急中心于12月13日晚间发布公告称，由于Apache Log4j2在框架组件和软硬件产品二次开发中应用较为广泛，建议各厂商单位对开发的软硬件产品和服务进行积极自查，重点检查对Apache Log4j2组件的引用情况，若发现受此漏洞影响需立即修复，并通知产品用户及时更新。同时，国家互联网应急中心向厂商征集软硬件产品或服务受影响情况，以判断漏洞对我国的影响程度。

记者从360公司处获悉，360安全团队在检测近期广泛流行的Apache Log4j2漏洞威胁时发现多起攻击事件，尤其是微软“我的世界”游戏，短期内被黑客发起大量攻击，最高峰时有超过10000个玩家遭到攻击，360对此做出预警通报。

360安全专家告诉记者，此次出现漏洞的Apache Log4j2是阿帕奇软件基金会（Apache）管理的一款基于Java的日志记录工具，被广泛应用于各种常见的Web服务中，90%以上基于Java开发的应用平台都会直接或间接使用该工具。由于该组件使用范围广泛，此次爆发的漏洞风险危及了IT通信（互联网）、高校、工业制造、金融、政府、医疗卫生、运营商等几乎所有行业。其波及面和威胁程度，均堪比2017年的“永恒之蓝”。

专家表示，攻击者能够利用该漏洞直接在被攻击设备上执行代码，进而控制设备来进行窃取数据，投递勒索病毒、挖矿木马等，属于威胁程度最高的一类漏洞。

记者梳理发现，截至12月14日，京东、斗鱼、网易、深信服等多家互联网及安全厂商应急响应中心表示，鉴于该漏洞的影响范围较大，业务自查及升级修复需要一定时间，暂不接收Log4j2远程代码执行漏洞的通知。

目前，国内多家安全厂商已发布针对Apache Log4j2漏洞的企业和个人用户修复方案。360安全团队表示， 360安全卫士、360终端安全等系统目前支持了对该漏洞的拦截，同时更新了高危漏洞免疫工具缓解类似攻击。

值得一提的是，Apache官网称Apache Log4j2漏洞是阿里云安全团队最早发现的。11月24日，阿里云安全团队就向Apache官方报告了Apache Log4j2远程代码执行漏洞。目前，漏洞利用细节已公开，Apache官方已发布补丁修复该漏洞。业内专家指出，此次Log4j2漏洞发现，体现出国内安全研究的技术水平有了极大提升。但网络安全保护尚未在国内引起足够重视，企业普遍存在安全规范为业务让行的情况。希望这次漏洞事件，能够引起大家对网络安全的重视。

责任编辑：韩希宇