微软警告说,黑客继续试图利用Log4j 开源日志框架中发现的安全漏洞在易受攻击的系统上部署恶意软件。
微软威胁情报中心 (MSTIC)在本周早些时候发布的修订指南中表示:“在12 月的最后几周,漏洞利用尝试和测试一直居高不下。我们观察到许多现有的攻击者在他们现有的恶意软件工具包和策略中添加了对这些漏洞的利用,从硬币矿工到手动键盘攻击。”
Apache 软件基金会于 2021 年 12 月 10 日公开披露,Apache Log4j 2(又名Log4Shell)中的远程代码执行 (RCE) 漏洞已成为各种威胁参与者广泛利用的新攻击媒介。
在接下来的几周中,该实用程序的另外四个弱点被曝光——CVE-2021-45046、CVE-2021-45105、CVE-2021-4104和CVE-2021-44832——为投机取巧的恶意行为者提供了持续控制受感染的机器并发起一系列不断发展的攻击,从加密货币矿工到勒索软件。
即使大规模扫描尝试没有显示出停止的迹象,但仍在努力通过混淆恶意 HTTP 请求来逃避字符串匹配检测,该请求使用 Log4j 来生成 Web 请求日志,该日志利用 JNDI 执行对攻击者控制的请求地点。
此外,微软表示,它观察到“该漏洞迅速被利用到 Mirai 等现有僵尸网络中,之前针对易受攻击的 Elasticsearch 系统部署加密货币矿工的现有活动,以及将海啸后门部署到 Linux 系统的活动。”
最重要的是,Log4Shell 漏洞还被用于删除其他远程访问工具包和反向 shell,例如Meterpreter、Bladabindi(又名 NjRAT)和HabitsRAT。
国际知名白帽黑客、东方联盟创始人郭盛华指出:“此时,客户应该假设漏洞利用代码和扫描功能的广泛可用性对其环境构成真实存在的危险。由于受到影响的许多软件和服务以及更新的速度,预计这将有很长的补救措施,需要持续、可持续的警惕。”(欢迎转载分享)