在12月之前微軟探測(cè)系統(tǒng)中發(fā)現(xiàn)的Log4j“Log4Shell”缺陷后，微軟已警告Windows和Azure 客戶保持警惕。

Apache軟件基金會(huì)披露，Log4Shell可能需要數(shù)年時(shí)間才能修復(fù)，因?yàn)殄e(cuò)誤日志軟件組件在應(yīng)用程序和服務(wù)中的使用范圍非常廣泛。

美國(guó)聯(lián)邦貿(mào)易委員會(huì)已發(fā)出警告，將追捕未修復(fù)Java 日志記錄包 Log4j 中的漏洞的公司。

該機(jī)構(gòu)周二表示：“FTC 打算利用其全部法律權(quán)力追究未能采取合理措施保護(hù)消費(fèi)者數(shù)據(jù)免遭 Log4j 或未來(lái)類似已知漏洞暴露的公司。未能識(shí)別和修補(bǔ)該軟件的實(shí)例可能違反 FTC 法案。”

FTC表示：“Log4j 漏洞是更廣泛的結(jié)構(gòu)性問(wèn)題的一部分。它是數(shù)以千計(jì)的鮮為人知但至關(guān)重要的開源服務(wù)之一，這些服務(wù)在幾乎無(wú)數(shù)的互聯(lián)網(wǎng)公司中使用。” 

本周二早些時(shí)候，微軟警告說(shuō)，客戶可能不知道 Log4j 問(wèn)題在他們的環(huán)境中有多普遍。在過(guò)去的一個(gè)月里，微軟發(fā)布了許多更新，包括對(duì)其 Defender 安全軟件的更新，以幫助客戶在攻擊者加強(qiáng)掃描活動(dòng)時(shí)識(shí)別問(wèn)題。

LOG4J 缺陷覆蓋范圍

• Log4j缺陷：攻擊者正在嘗試?yán)么藝?yán)重漏洞進(jìn)行數(shù)以千計(jì)的嘗試
• 安全警告：Log4j Java 庫(kù)中的新零日漏洞已被利用
• Log4j RCE活動(dòng)于12月1日開始，因?yàn)榻┦W(wǎng)絡(luò)開始使用漏洞

“在12月的最后幾周，攻擊嘗試和測(cè)試一直很高。我們觀察到許多現(xiàn)有的攻擊者在他們現(xiàn)有的惡意軟件工具包和策略中添加了對(duì)這些漏洞的利用，從硬幣礦工到手動(dòng)鍵盤攻擊，”Microsoft 365 Defender威脅情報(bào)團(tuán)隊(duì)和微軟威脅情報(bào)中心(MSTIC)在1月3日的更新中表示。

客戶應(yīng)該假設(shè)漏洞利用代碼和掃描功能的廣泛可用性對(duì)他們的環(huán)境構(gòu)成真實(shí)存在的危險(xiǎn)。因此，它鼓勵(lì)客戶利用腳本和掃描工具來(lái)評(píng)估他們的風(fēng)險(xiǎn)和影響。

目前，微軟已經(jīng)觀察到攻擊者使用許多相同的庫(kù)存技術(shù)來(lái)定位目標(biāo)。已經(jīng)觀察到復(fù)雜的對(duì)手(如民族國(guó)家行為者)和商品攻擊者都在利用這些漏洞。擴(kuò)大使用這些漏洞的潛力很大。該漏洞可能讓一些安全團(tuán)隊(duì)在圣誕節(jié)期間沒有太多休息時(shí)間，以至于英國(guó)NCSC發(fā)出警告，提防負(fù)責(zé)修復(fù)工作的員工倦怠。

就在元旦之前，微軟在適用于Windows 10和 11、Windows Server 和 Linux 系統(tǒng)的 Microsoft 365 Defender 門戶中推出了一個(gè)新的 Log4j 儀表板，用于威脅和漏洞管理。該系統(tǒng)旨在幫助客戶查找和修復(fù)受 Log4j 漏洞影響的文件、軟件和設(shè)備。CISA 和 CrowdStrike還在圣誕節(jié)前發(fā)布了 Log4j 掃描器。

如何確保公司安全

• Log4j 零日漏洞：您需要知道的以及如何保護(hù)自己
• 安全警告：Log4j Java 庫(kù)中的新零日漏洞已被利用
• Log4j 缺陷可能是“未來(lái)幾年”工業(yè)網(wǎng)絡(luò)的一個(gè)問(wèn)題

CISA官員認(rèn)為，數(shù)以億計(jì)的設(shè)備受到 Log4j 的影響。與此同時(shí)，思科和Vmware等主要技術(shù)供應(yīng)商繼續(xù)為受影響的產(chǎn)品發(fā)布補(bǔ)丁。

Log4Shell 漏洞現(xiàn)在包括原始 CVE-2021-44228 和四個(gè)相關(guān)缺陷，其中最新的是CVE-2021-44832。然而，這只是在 12 月 28 日的 Log4j 版本 2.17.1 更新中解決的中等嚴(yán)重性問(wèn)題。Apache 軟件基金會(huì)在其公告中詳細(xì)介紹了每個(gè) Log4j 漏洞，涵蓋CVE-2021-44228、CVE-2021-45105和CVE-2021-45046。