曝光 2 年仍有漏网之鱼黑客推出新型木马瞄准未修复 Log4j 漏洞的用户2025年6月15日log4j2漏洞扫描工具

　　IT之家12 月 12 日消息，小伙伴们可能还对 2 年前的 Log4j（Log4Shell）漏洞记忆犹新，该漏洞出自 Java 日志工具Apache Log4j，允许黑客远程执行代码，CVSS 风险评分达到满分，彼时许多开源框架乃至多家互联网公司都使用了相关日志工具，从而造成了一系列“官方紧急发布修复补丁并督促用户更新”局面。

　　安全公司 Veracode 在当时推测，市面上至少有 90% 企业的设备存在 Log4j 漏洞，美国国土安全部更是评估相关漏洞“可能需要 10 年才能完全修补”。

　　而在两年后的今天，Veracode 曝光称，有黑客开发了一系列新型木马，冲着还未修复 Log4j 漏洞的设备而来。

　　IT之家获悉，这些新型木马被命名为NineRAT 和 DLRAT，最初现身于2023年 5 月，黑客使用这些木马对多家金融、媒体、医疗机构展开攻击，并取得了一些“阶段性的成果”。

　　安全公司 Veracode 声称，他们在今年 8 月 15 日至 11 月 15 日进行了一项调查，结果显示至少还有 38% 的设备依然使用易遭受攻击的 Apache Log4j 版本，这些设备极容易被黑客用现有的手段“无门槛突破”，安全公司督促用户应当及时部署修复漏洞的版本：

　　32% 设备使用 Log4j21.2.x，该版本已经在 2015 年 8 月结束生命周期，存在至少 7 个严重漏洞。

　　广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。