在過去的一周時間裡,對於 IT 管理員來說無疑是非常忙碌的,他們正在爭分奪秒地應對影響世界各地系統的 Log4j 漏洞。隨着安全專家不斷發現日誌工具中的更多漏洞,IT 管理員不知疲倦地工作,以確定和關閉任何可能使漏洞被利用的潛在訪問。不幸的是,一個新發現的載體已經證明,即使是沒有互聯網連接的孤立系統也可能有同樣的脆弱性,這使已經很嚴重的問題進一步複雜化。
Blumira 公司的研究人員提供了更多壞消息。雖然以前的發現表明,受影響的系統需要某種類型的網絡或互聯網連接,但這家安全公司最近的發現,作為本地主機運行、沒有外部連接的服務也可以被利用。這一發現為研究人員指出了更多的使用案例,概述了破壞運行 Log4j 的未打補丁資產的其他方法。
Blumira 首席技術官 Matthew Warner 的一篇技術文章概述了惡意行為者如何影響脆弱的本地機器。Warner 說,WebSockets 是允許網絡瀏覽器和網絡應用程序之間快速、高效通信的工具,可以用來向沒有互聯網連接的脆弱應用程序和服務器提供有效載荷。這種特定的攻擊媒介意味着,只要攻擊者利用現有的 WebSocket 發送惡意請求,就可以破壞未連接但脆弱的資產。Warner 的帖子詳細介紹了惡意行為者發起基於 WebSocket 的攻擊的具體步驟。
Warner 指出,有可用的方法,組織可以用來檢測任何現有的Log4j漏洞。
1. 運行 Windows PoSh 或者 cross platform,旨在識別本地環境中使用Log4j的地方
2. 尋找任何被用作”cmd.exe/powershell.exe”的父進程的.*/java.exe實例
3. 確保你的組織被設置為檢測Cobalt Strike、TrickBot和相關常見攻擊工具的存在。
受影響的組織可以將其 Log4j 實例更新到 Log4j 2.16,以緩解該工具的漏洞。這包括任何組織可能已經應用了以前的補救措施,即2.15版,該版本後來被發現包括其自身的一系列相關漏洞。