Microsoft observerede mange angribere, der tilføjede udnyttelse af Log4j-sårbarheder

Sidste måned var flere sårbarheder ved fjernudførelse af kode (RCE) (CVE-2021-44228, CVE-2021-45046, CVE-2021-44832) blev rapporteret i Apache Log4j, en meget brugt open source-komponent, der bruges af mange software og tjenester. Disse sårbarheder førte til udbredt udnyttelse, herunder massescanning, møntminedrift, etablering af fjerntliggende skaller og red-team-aktivitet. Den 14. december holdet Apache Log4j 2 frigivet Log4j 2.16.0 for at rette disse sårbarheder. Indtil patchen er anvendt, vil alle de eksisterende Apache Log4j kørende servere være potentielle mål for hackere.

Microsoft har for nylig opdateret sin vejledning til at forhindre, opdage og jage efter udnyttelse af Log4j 2-sårbarheden. Ifølge Microsoft udnytter angribere aktivt Log4j-sårbarheder, og udnyttelsesforsøgene har været høje i de sidste uger af december. Microsoft nævnte, at mange eksisterende angribere tilføjede udnyttelser af disse sårbarheder i deres eksisterende malware-sæt og -taktikker, og der er et stort potentiale for den udvidede brug af Log4j-sårbarhederne.

Microsoft udgav følgende vejledning til kunder:

• Kunder opfordres til at bruge scripts og scanningsværktøjer til at vurdere deres risiko og virkning.
• Microsoft har observeret angribere, der bruger mange af de samme opgørelsesteknikker til at lokalisere mål. Sofistikerede modstandere (som nationalstatsaktører) og råvareangribere er blevet observeret drage fordel af disse sårbarheder.
• Microsoft anbefaler kunder at foretage yderligere gennemgang af enheder, hvor sårbare installationer opdages.
• Kunder bør antage bred tilgængelighed af udnyttelseskode og scanningsfunktioner for at være en reel og aktuel fare for deres miljøer.
• På grund af de mange software og tjenester, der er påvirket og i betragtning af opdateringstempoet, forventes dette at have en lang hale til afhjælpning, hvilket kræver løbende, bæredygtig årvågenhed.

Kilde: microsoft