Apache Log4j漏洞Log4Shel广受攻击

威胁参与者正在积极将受新发现的“威胁”影响的未修补服务器武器化Log4Shell“Log4j中存在漏洞，无法安装加密货币矿工、Cobalt Strike，并将这些设备招募到僵尸网络中，尽管遥测信号表明该漏洞在被发现前九天就被利用了。

中国科技巨头奇虎360的网络安全部门Netlab，Mirai和Muhstik（又名海啸）等已披露的威胁正将目光投向易受攻击的系统，以传播感染并增强其计算能力，从而策划分布式拒绝服务（DDoS）攻击，目的是压倒目标并使其无法使用。Muhstik此前曾在今年9月早些时候被发现利用Atlassian Confluence（CVE-2021-26084，CVSS分数：9.8）的一个关键安全漏洞。

最新进展出现之际，该漏洞在12月10日公开披露之前至少一个多星期内一直受到攻击，Auvik、ConnectWise Manage和N-able等公司已确认其服务受到影响，从而将该漏洞的影响范围扩大到更多制造商。

Cloudflare首席执行官马修·普林斯（Matthew Prince）周日在推特上写道：“到目前为止，我们发现的最早的Log4j漏洞证据是2021-12-01 04:36:50 UTC。”。“这表明它在公开披露前至少九天处于野生状态。然而，直到公开披露后，才看到大规模剥削的证据。”Cisco Talos在一份独立报告中表示，从12月2日开始，它观察到了与该漏洞相关的攻击者活动。

追踪CVE-2021-44228（CVSS分数：10.0），该漏洞涉及Log4j中的远程代码执行案例，Log4j是一个基于Java的开源Apache日志框架，广泛用于企业环境，用于记录软件应用程序生成的事件和消息。

攻击者利用该漏洞所需的只是发送一个精心编制的字符串，其中包含Log4j 2.0版或更高版本记录的恶意代码，从而有效地使威胁参与者能够从易受攻击服务器上由攻击者控制的域加载任意代码，并接管控制权。

微软365 Defender威胁情报团队在一份分析报告中表示：“微软目前观察到的大部分攻击都与试图对易受攻击的系统进行指纹扫描的攻击者的大规模扫描以及安全公司和研究人员的扫描有关。”。“根据漏洞的性质，一旦攻击者拥有对应用程序的完全访问和控制权，他们就可以执行无数目标。”

这家总部位于雷德蒙德的科技巨头表示，它检测到了大量恶意活动，包括安装Cobalt Strike以实现凭证盗窃和横向移动、部署硬币矿工，以及从受损机器中过滤数据。

这种情况也让公司争先恐后地推出漏洞修复程序。网络安全供应商SonicWall在一份咨询中透露，其电子邮件安全解决方案受到了影响，并表示正在努力发布该问题的修复方案，同时继续调查其其他产品。同样，虚拟化技术提供商VMware也警告称，“有人试图在野外进行攻击”，并补充说，它正在为其许多产品推出补丁。

如果说有什么区别的话，那么像这样的事件说明了一个单一的缺陷，当在许多软件包中被发现时，会产生连锁反应，成为进一步攻击的渠道，并对受影响的系统构成严重风险。亨特雷斯实验室高级安全研究员约翰·哈蒙德说：“所有威胁行为人触发攻击所需的都是一行文字。”。“这个漏洞没有明显的目标—；黑客正在采取喷雾祈祷的方式来造成严重破坏。”