在過(guò)去的一周時(shí)間里，對(duì)于 IT 管理員來(lái)說(shuō)無(wú)疑是非常忙碌的，他們正在爭(zhēng)分奪秒地應(yīng)對(duì)影響世界各地系統(tǒng)的 Log4j 漏洞。隨著安全專家不斷發(fā)現(xiàn)日志工具中的更多漏洞，IT 管理員不知疲倦地工作，以確定和關(guān)閉任何可能使漏洞被利用的潛在訪問(wèn)。不幸的是，一個(gè)新發(fā)現(xiàn)的載體已經(jīng)證明，即使是沒(méi)有互聯(lián)網(wǎng)連接的孤立系統(tǒng)也可能有同樣的脆弱性，這使已經(jīng)很嚴(yán)重的問(wèn)題進(jìn)一步復(fù)雜化。

Blumira 公司的研究人員提供了更多壞消息。雖然以前的發(fā)現(xiàn)表明，受影響的系統(tǒng)需要某種類型的網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接，但這家安全公司最近的發(fā)現(xiàn)，作為本地主機(jī)運(yùn)行、沒(méi)有外部連接的服務(wù)也可以被利用。這一發(fā)現(xiàn)為研究人員指出了更多的使用案例，概述了破壞運(yùn)行 Log4j 的未打補(bǔ)丁資產(chǎn)的其他方法。

Blumira 首席技術(shù)官 Matthew Warner 的一篇技術(shù)文章概述了惡意行為者如何影響脆弱的本地機(jī)器。Warner 說(shuō)，WebSockets 是允許網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)應(yīng)用程序之間快速、高效通信的工具，可以用來(lái)向沒(méi)有互聯(lián)網(wǎng)連接的脆弱應(yīng)用程序和服務(wù)器提供有效載荷。這種特定的攻擊媒介意味著，只要攻擊者利用現(xiàn)有的 WebSocket 發(fā)送惡意請(qǐng)求，就可以破壞未連接但脆弱的資產(chǎn)。Warner 的帖子詳細(xì)介紹了惡意行為者發(fā)起基于 WebSocket 的攻擊的具體步驟。

Warner 指出，有可用的方法，組織可以用來(lái)檢測(cè)任何現(xiàn)有的Log4j漏洞。

• 運(yùn)行 Windows PoSh或者cross platform，旨在識(shí)別本地環(huán)境中使用Log4j的地方
• 尋找任何被用作"cmd.exe/powershell.exe"的父進(jìn)程的.*/java.exe實(shí)例
• 確保你的組織被設(shè)置為檢測(cè)Cobalt Strike、TrickBot和相關(guān)常見(jiàn)攻擊工具的存在。

受影響的組織可以將其 Log4j 實(shí)例更新到 Log4j 2.16，以緩解該工具的漏洞。這包括任何組織可能已經(jīng)應(yīng)用了以前的補(bǔ)救措施，即2.15版，該版本后來(lái)被發(fā)現(xiàn)包括其自身的一系列相關(guān)漏洞。