根據(jù)Security Affairs網(wǎng)站最新消息，Log4j庫中的Log4Shell漏洞公開披露前，至少已經(jīng)被攻擊利用了一周之多。黑客組織也早已濫用該漏洞，大肆部署惡意軟件。

[[440359]]

漏洞存在很多可攻擊點

漏洞披露后，NetLab 360研究人員聲稱，其公司旗下的Anglerfish和Apacket蜜罐已經(jīng)被試圖使用Log4Shell漏洞的網(wǎng)絡(luò)攻擊擊中。經(jīng)過研究分析，這些嘗試性攻擊是由 Muhstik 和 Mirai 僵尸網(wǎng)絡(luò)發(fā)動的針對Linux 設(shè)備的網(wǎng)絡(luò)活動。

媒體披露，不止360一家安全團隊觀察到了攻擊活動，其他研究團隊同樣觀察到了威脅者試圖利用該漏洞。安全研究人員經(jīng)過分析發(fā)現(xiàn)，絕大多數(shù)觀察到的網(wǎng)絡(luò)攻擊活動大都是掃描。

基于該漏洞的性質(zhì)，一旦攻擊者完全訪問和控制了一個應用程序，就可以執(zhí)行無數(shù)攻擊目標。微軟威脅情報中心證實，攻擊者正在試圖利用此漏洞投放Cobalt Strike信標和硬幣礦工，Cobalt Strike能夠?qū)崿F(xiàn)憑證盜竊和橫向移動，以及從被攻擊的系統(tǒng)中滲出數(shù)據(jù)。

漏洞端倪早已顯現(xiàn)

Cloudflare首席執(zhí)行官Matthew Prince發(fā)表推文稱，情況可能比最初設(shè)想的還要糟糕，12月10日漏洞公開披露前，該漏洞至少已經(jīng)被攻擊了一個多星期。

媒體披露，思科Talos早在2021年12月2日就已觀察到與CVE-2021-22448有關(guān)的攻擊者活動，因此建議企業(yè)將漏洞掃描搜索范圍擴大到這一天。

思科Talos發(fā)布公告聲明，攻擊者可以利用這個漏洞作為信息披露的手段，從有漏洞的主機中滲出存儲在文件和環(huán)境變量中的憑證(和其他配置)。例如，AWS CLI使用環(huán)境變量和配置文件等。

除此之外，Talos研究人員更新了IOC列表，其中包括了利用CVE-2021-44228缺陷進行的采礦活動信息。研究人員發(fā)現(xiàn)了旨在交付Kinsing加密挖掘機的采礦活動。

Auvik、Huntress Lab和N-able等組織也證實了其服務(wù)在12月10日之前已經(jīng)受到了影響。Huntress實驗室的研究人員創(chuàng)建了一個工具，可以幫助企業(yè)測試其應用程序是否容易受到CVE-2021-44228的影響。

參考文章：https://securityaffairs.co/wordpress/125567/hacking/log4shell-log4j-exploitation.html