在過(guò)去的一周時(shí)間里,對(duì)于 IT 管理員來(lái)說(shuō)無(wú)疑是非常忙碌的,他們正在爭(zhēng)分奪秒地應(yīng)對(duì)影響世界各地系統(tǒng)的 Log4j 漏洞。隨著安全專家不斷發(fā)現(xiàn)日志工具中的更多漏洞,IT 管理員不知疲倦地工作,以確定和關(guān)閉任何可能使漏洞被利用的潛在訪問(wèn)。不幸的是,一個(gè)新發(fā)現(xiàn)的載體已經(jīng)證明,即使是沒有互聯(lián)網(wǎng)連接的孤立系統(tǒng)也可能有同樣的脆弱性,這使已經(jīng)很嚴(yán)重的問(wèn)題進(jìn)一步復(fù)雜化。
Blumira 公司的研究人員提供了更多壞消息。雖然以前的發(fā)現(xiàn)表明,受影響的系統(tǒng)需要某種類型的網(wǎng)絡(luò)或互聯(lián)網(wǎng)連接,但這家安全公司最近的發(fā)現(xiàn),作為本地主機(jī)運(yùn)行、沒有外部連接的服務(wù)也可以被利用。這一發(fā)現(xiàn)為研究人員指出了更多的使用案例,概述了破壞運(yùn)行 Log4j 的未打補(bǔ)丁資產(chǎn)的其他方法。
Blumira 首席技術(shù)官 Matthew Warner 的一篇技術(shù)文章概述了惡意行為者如何影響脆弱的本地機(jī)器。Warner 說(shuō),WebSockets 是允許網(wǎng)絡(luò)瀏覽器和網(wǎng)絡(luò)應(yīng)用程序之間快速、高效通信的工具,可以用來(lái)向沒有互聯(lián)網(wǎng)連接的脆弱應(yīng)用程序和服務(wù)器提供有效載荷。這種特定的攻擊媒介意味著,只要攻擊者利用現(xiàn)有的 WebSocket 發(fā)送惡意請(qǐng)求,就可以破壞未連接但脆弱的資產(chǎn)。Warner 的帖子詳細(xì)介紹了惡意行為者發(fā)起基于 WebSocket 的攻擊的具體步驟。
Warner 指出,有可用的方法,組織可以用來(lái)檢測(cè)任何現(xiàn)有的Log4j漏洞。
- 運(yùn)行 Windows PoSh或者cross platform,旨在識(shí)別本地環(huán)境中使用Log4j的地方
- 尋找任何被用作"cmd.exe/powershell.exe"的父進(jìn)程的.*/java.exe實(shí)例
- 確保你的組織被設(shè)置為檢測(cè)Cobalt Strike、TrickBot和相關(guān)常見攻擊工具的存在。
受影響的組織可以將其 Log4j 實(shí)例更新到 Log4j 2.16,以緩解該工具的漏洞。這包括任何組織可能已經(jīng)應(yīng)用了以前的補(bǔ)救措施,即2.15版,該版本后來(lái)被發(fā)現(xiàn)包括其自身的一系列相關(guān)漏洞。
