上周末,微软证实对 Apache Log4j 漏洞的持续利用正在扩展到组织中。该漏洞被称为 Log4Shell,最初仅针对加密挖掘操作。然而,微软表示,它现在已经发展到还针对数据盗窃和凭证盗窃。
据该公司称,其网络安全团队发现了针对上周在 Apache Log4j 中发现的远程代码执行 (RCE) 漏洞的威胁。Log4Shell 被评为开源日志库中的一个严重缺陷。由于 Log4j 在云服务中很常见,因此此漏洞利用的危险性很高。
事实上,美国国土安全部的网络安全和基础设施安全局 (CISA) 表示,数以亿计的设备处于危险之中。现在,该漏洞正在演变以影响更广泛的运营,组织面临着数据提取、凭据盗窃和其他攻击的风险。
“这个漏洞是我在整个职业生涯中见过的最严重的漏洞之一,如果不是最严重的,” CISA 主管 Jen Easterly 告诉 CNN。 “我们预计该漏洞将被老练的行为者广泛利用,我们有时间采取必要措施来减少损害的可能性。”
在上周六的博客文章中,Microsoft Security 表示攻击正在升级,超出了针对加密挖掘的范围:
该公司表示:“微软观察到的活动包括安装硬币矿工、Cobalt Strike 以实现凭证盗窃和横向移动,以及从受损系统中窃取数据。”
使 Log4Shell(跟踪为CVE-2021-44228)利用变得如此危险的一个方面是 Log4j 的流行。Java 库平台记录应用程序中的错误消息,并被世界上最大的云供应商使用。Microsoft Azure、亚马逊网络服务、谷歌云、甲骨文、思科、IBM、VMware、RedHat 等数十家公司都在使用该平台。
Log4j 软件 2.0 至 2.14.1 版本存在允许攻击者进行远程执行攻击的漏洞。如果成功,黑客就会让威胁行为者控制设备。Apache 软件基金会已经发布了 2.15.0 版来修补这个缺陷。但是,与往常一样,补丁要求用户应用修复程序。
此外,作为平台客户的最终用户,例如 Microsoft Azure 客户。这条链需要时间,而且总会有一些人出于某种原因根本不更新。
微软警告组织中的安全团队不应只专注于防止使用漏洞。该公司表示可能为时已晚,因此客户应该调查漏洞是否已经存在。
“我们鼓励防御者寻找后利用的迹象,而不是完全依赖预防,” Microsoft Security 在其帖子中指出。“通过基于行为的检测来检测观察到的后期开发活动,例如硬币开采、横向移动和 Cobalt Strike。”
据微软安全响应中心 (MSRC) 称,该公司正在调查该漏洞如何影响其自己的产品。“如果我们发现任何客户影响,我们将通知受影响的一方,” 微软的另一篇帖子说。
在安装补丁之前,可能有一种方法可以绕过该漏洞。具体来说,网络安全软件公司 Cyberseason 开发了一种似乎可以关闭该缺陷的工具。一旦该工具到位,Log4Shell 漏洞利用将不再起作用。Cyberseason 的联合创始人 Yonatan Striem-Amit 称该工具是针对漏洞的“疫苗”。
Cyberseason 已免费提供该工具。尽管如此,该公司还是敦促用户最终更新他们的 Log4j 软件,因为这不是永久性的修复。
“这个想法并不是说这是一个长期的修复解决方案,”他警告说。“我们的想法是,您现在就可以为自己争取时间并应用最佳实践——修补您的软件、部署新版本,以及良好 IT 卫生所需的所有其他事情。”
