虽然概念验证代码是上周四发布的,但有证据表明已经有黑客在 2 周前利用 Log4Shell 漏洞发起攻击了。根据 Cloudflare 和 Cisco Talos 的数据,第一批攻击是在 12 月 1 日和 12 月 2 日观察到的。
虽然大规模的攻击利用是在上周末开始的,但这一启示意味着安全团队需要扩大他们的事件响应调查,为了安全起见针对他们的网络检查要追溯到 11 月初。目前,滥用 Log4Shell 漏洞的攻击仍然是温和(tame)的--如果这个词甚至可以用来描述对安全漏洞的滥用。
大量的攻击来自于专业的密码挖掘和 DDoS 僵尸网络,如 Mirai、Muhstik 和 Kinsing,它们通常在所有人之前率先利用任何有意义的企业漏洞。但在周末的一篇博客文章中,微软表示,它开始观察到 Log4Shell 被用来部署网络外壳和Cobalt Strike信标(后门)的第一个实例。
CISA、NSA和一些网络安全公司在过去一年中多次警告说,网络外壳和Cobalt Strike信标的组合通常是民族国家集团和勒索软件团伙在攻击中部署的第一个工具,因此,虽然未经证实,但如果我们在今天结束前得到第一个滥用Log4Shell的勒索软件集团,不要感到惊讶。
现在,对易受Log4Shell漏洞影响的互联网连接系统的扫描绝对是通过屋顶。安全公司Kryptos Logic周日表示,它检测到超过10,000个不同的IP地址探测互联网,这是上周五探测Log4Shell的系统数量的100倍。
并非所有这些流量都是坏的,因为也有白帽安全研究人员和安全公司在寻找易受攻击的系统,但大的情况是,威胁者已经闻到了血腥味,IT管理员应该看看他们基于Java的系统是否有易受Log4Shell攻击。