Microsoft observerte mange angripere som la til utnyttelse av Log4j-sårbarheter

Forrige måned, flere sårbarheter for ekstern kjøring av kode (RCE) (CVE-2021-44228, CVE-2021-45046, CVE-2021-44832) ble rapportert i Apache Log4j, en mye brukt åpen kildekode-komponent som brukes av mange programvarer og tjenester. Disse sårbarhetene førte til utbredt utnyttelse inkludert masseskanning, myntgruvedrift, etablering av eksterne skjell og red-team-aktivitet. 14. desember, teamet Apache Log4j 2 utgitt Log4j 2.16.0 for å fikse disse sårbarhetene. Inntil oppdateringen er tatt i bruk, vil alle de eksisterende Apache Log4j-tjenerne være potensielle mål for hackere.

Microsoft oppdaterte nylig sin veiledning for å forhindre, oppdage og jakte på utnyttelse av Log4j 2-sårbarheten. Ifølge Microsoft utnytter angripere aktivt Log4j-sårbarheter og utnyttelsesforsøkene har holdt seg høye de siste ukene av desember. Microsoft nevnte at mange eksisterende angripere la til utnyttelse av disse sårbarhetene i deres eksisterende malware-sett og taktikk, og det er et stort potensial for utvidet bruk av Log4j-sårbarhetene.

Microsoft publiserte følgende veiledning for kunder:

• Kunder oppfordres til å bruke skript og skanneverktøy for å vurdere risiko og innvirkning.
• Microsoft har observert angripere som bruker mange av de samme inventarteknikkene for å lokalisere mål. Sofistikerte motstandere (som nasjonalstatsaktører) og råvareangripere har blitt observert utnytte disse sårbarhetene.
• Microsoft anbefaler kunder å gjøre ytterligere gjennomgang av enheter der sårbare installasjoner oppdages.
• Kunder bør anta bred tilgjengelighet av utnyttelseskode og skannefunksjoner for å være en reell og tilstedeværende fare for deres miljøer.
• På grunn av de mange programvarene og tjenestene som er påvirket og gitt oppdateringshastigheten, forventes dette å ha en lang hale for utbedring, noe som krever kontinuerlig, bærekraftig årvåkenhet.

kilde: Microsoft