过去的一周对于IT管理员来说无疑是非常忙碌的,他们正在争分夺秒地处理影响全球系统的Log4j漏洞。随着安全专家不断在日志记录工具中发现更多漏洞,IT管理员正在不懈努力,以识别并关闭任何可能允许漏洞被利用的潜在访问。不幸的是,一个新发现的媒介表明,即使是没有互联网连接的孤立系统也可能存在同样的漏洞,使本已严重的问题进一步复杂化。Blumira的研究人员有更多坏消息。虽然之前的调查结果表明受影响的系统需要某种类型的网络或互联网连接,但该安全公司最近的发现表明,作为没有外部连接的本地主机运行的服务也可以被利用。这一发现为研究人员指出了其他用例,概述了危害运行Log4j的未修补资产的其他方法。Blumira首席技术官MatthewWarner的一篇技术文章概述了恶意行为者如何影响易受攻击的本地机器。WebSockets是一种允许Web浏览器和Web应用程序之间快速、高效通信的工具,可用于在没有互联网连接的情况下向易受攻击的应用程序和服务器传送有效载荷,Warner说。这种特定的攻击向量意味着只要攻击者利用现有的WebSocket发送恶意请求,它就可以破坏未连接但易受攻击的资产。Warner的帖子详细描述了恶意行为者发起基于WebSocket的攻击所采取的具体步骤。Warner指出,组织可以使用一些方法来检测任何现有的Log4j漏洞。运行WindowsPoSh或旨在识别本地环境中使用Log4j的位置的跨平台查找任何用作“cmd.exe/powershell.exe”父进程的.*/java.exe实例确保您的组织设置为检测CobaltStrike、TrickBot等相关常见攻击工具的存在。受影响的组织可以将其Log4j实例更新到Log4j2.16以减轻该工具的漏洞。这包括可能已经应用了先前补救措施2.15版的任何组织,后来发现该补救措施包含自己的一组相关漏洞。
