雖然概念驗證代碼是上周四發布的,但有證據表明已經有黑客在 2 周前利用 Log4Shell 漏洞發起攻擊了。根據 Cloudflare 和 Cisco Talos 的數據,第一批攻擊是在 12 月 1 日和 12 月 2 日觀察到的。
雖然大規模的攻擊利用是在上周末開始的,但這一啟示意味着安全團隊需要擴大他們的事件響應調查,為了安全起見針對他們的網絡檢查要追溯到 11 月初。目前,濫用 Log4Shell 漏洞的攻擊仍然是溫和(tame)的–如果這個詞甚至可以用來描述對安全漏洞的濫用。
大量的攻擊來自於專業的密碼挖掘和 DDoS 殭屍網絡,如 Mirai、Muhstik 和 Kinsing,它們通常在所有人之前率先利用任何有意義的企業漏洞。但在周末的一篇博客文章中,微軟表示,它開始觀察到 Log4Shell 被用來部署網絡外殼和Cobalt Strike信標(後門)的第一個實例。
CISA、NSA和一些網絡安全公司在過去一年中多次警告說,網絡外殼和Cobalt Strike信標的組合通常是民族國家集團和勒索軟件團伙在攻擊中部署的第一個工具,因此,雖然未經證實,但如果我們在今天結束前得到第一個濫用Log4Shell的勒索軟件集團,不要感到驚訝。
現在,對易受Log4Shell漏洞影響的互聯網連接系統的掃描絕對是通過屋頂。安全公司Kryptos Logic周日表示,它檢測到超過10,000個不同的IP地址探測互聯網,這是上周五探測Log4Shell的系統數量的100倍。
並非所有這些流量都是壞的,因為也有白帽安全研究人員和安全公司在尋找易受攻擊的系統,但大的情況是,威脅者已經聞到了血腥味,IT管理員應該看看他們基於Java的系統是否有易受Log4Shell攻擊。