微软在去年12月之前在其检测系统中检测到Log4j“Log4Shell”漏洞后,已警告Windows和Azure客户提高警惕。Apache软件基金会透露,由于错误记录软件组件在应用程序和服务中的广泛使用,Log4Shell可能需要数年时间才能修复。美国联邦贸易委员会已发出警告,称将追捕未能修复Java日志包Log4j漏洞的公司。“联邦贸易委员会打算利用其全部法律权力追查未能采取合理措施保护消费者数据免受Log4j或类似未来类似已知漏洞影响的公司,”该机构周二表示。“未能识别和修补软件实例可能违反FTC法案。”“Log4j漏洞是更广泛的结构性问题的一部分,”FTC表示。“它是几乎无数互联网公司使用的数千种鲜为人知但至关重要的开源服务之一。”周二早些时候,微软警告说,客户可能没有意识到Log4j问题在他们的环境中有多普遍。在过去的一个月里,微软发布了一系列更新,包括对其Defender安全软件的更新,以帮助客户在攻击者加强扫描活动时识别问题。LOG4J缺陷覆盖率Log4j缺陷:攻击者正在对这一严重漏洞进行数千次尝试12月。我们观察到许多现有攻击者将对这些漏洞的利用添加到他们现有的恶意软件工具包和策略中,从硬币矿工到手动键盘攻击,”Microsoft365Defender威胁情报团队和Microsoft威胁情报中心(MSTIC)在一份报告中说。1月3日更新。客户应该假设漏洞利用代码和扫描功能的广泛使用会对他们的环境构成真实和现实的危险。因此,它鼓励客户利用脚本和扫描工具来评估他们的风险和影响。目前,微软已经观察到攻击者使用许多相同的储存技术来定位目标。已经观察到老练的对手(例如民族国家行为者)和商品攻击者都在利用这些漏洞。这些漏洞的广泛使用潜力巨大。这个漏洞可能让一些安全团队在圣诞节期间休息的时间太少,以至于英国的NCSC警告说,负责修复它的员工会精疲力尽。就在元旦之前,微软在Windows10和11、WindowsServer和Linux系统的Microsoft365Defender门户中推出了用于威胁和漏洞管理的新Log4j仪表板。该系统旨在帮助客户查找并修复受Log4j漏洞影响的文件、软件和设备。CISA和CrowdStrike也在圣诞节前发布了Log4j扫描器。如何保护您的公司安全Log4j零日漏洞:您需要了解的内容以及如何保护自己来吧”CISA官员认为,数以亿计的设备受到Log4j的影响。与此同时,思科和VMware等主要技术供应商继续为受影响的产品发布补丁。Log4Shell漏洞现在包括原始CVE-2021-44228和四个相关缺陷,其中最新的是CVE-2021-44832。然而,这只是一个中等严重性的问题,已在12月28日的Log4j版本2.17.1更新中得到解决。Apache软件基金会在其公告中详细介绍了每个Log4j漏洞,涵盖CVE-2021-44228、CVE-2021-45105、和CVE-2021-45046。
