在過去的一周時間里，對于 IT 管理員來說無疑是非常忙碌的，他們正在爭分奪秒地應對影響世界各地系統(tǒng)的 Log4j 漏洞。隨著安全專家不斷發(fā)現(xiàn)日志工具中的更多漏洞，IT 管理員不知疲倦地工作，以確定和關(guān)閉任何可能使漏洞被利用的潛在訪問。不幸的是，一個新發(fā)現(xiàn)的載體已經(jīng)證明，即使是沒有互聯(lián)網(wǎng)連接的孤立系統(tǒng)也可能有同樣的脆弱性，這使已經(jīng)很嚴重的問題進一步復雜化。

Blumira 公司的研究人員提供了更多壞消息。雖然以前的發(fā)現(xiàn)表明，受影響的系統(tǒng)需要某種類型的網(wǎng)絡或互聯(lián)網(wǎng)連接，但這家安全公司最近的發(fā)現(xiàn)，作為本地主機運行、沒有外部連接的服務也可以被利用。這一發(fā)現(xiàn)為研究人員指出了更多的使用案例，概述了破壞運行 Log4j 的未打補丁資產(chǎn)的其他方法。

Blumira 首席技術(shù)官 Matthew Warner 的一篇技術(shù)文章概述了惡意行為者如何影響脆弱的本地機器。Warner 說，WebSockets 是允許網(wǎng)絡瀏覽器和網(wǎng)絡應用程序之間快速、高效通信的工具，可以用來向沒有互聯(lián)網(wǎng)連接的脆弱應用程序和服務器提供有效載荷。這種特定的攻擊媒介意味著，只要攻擊者利用現(xiàn)有的 WebSocket 發(fā)送惡意請求，就可以破壞未連接但脆弱的資產(chǎn)。Warner 的帖子詳細介紹了惡意行為者發(fā)起基于 WebSocket 的攻擊的具體步驟。

Warner 指出，有可用的方法，組織可以用來檢測任何現(xiàn)有的Log4j漏洞。

• 運行 Windows PoSh或者cross platform，旨在識別本地環(huán)境中使用Log4j的地方
• 尋找任何被用作"cmd.exe/powershell.exe"的父進程的.*/java.exe實例
• 確保你的組織被設置為檢測Cobalt Strike、TrickBot和相關(guān)常見攻擊工具的存在。

受影響的組織可以將其 Log4j 實例更新到 Log4j 2.16，以緩解該工具的漏洞。這包括任何組織可能已經(jīng)應用了以前的補救措施，即2.15版，該版本后來被發(fā)現(xiàn)包括其自身的一系列相關(guān)漏洞。