Microsoft observerade många angripare som lade till utnyttjande av Log4j-sårbarheter

Förra månaden, flera sårbarheter för fjärrkodkörning (RCE) (CVE-2021-44228, CVE-2021-45046, CVE-2021-44832) rapporterades i Apache Log4j, en allmänt använd öppen källkodskomponent som används av många program och tjänster. Dessa sårbarheter ledde till utbredd exploatering inklusive massskanning, myntbrytning, upprättande av fjärrskal och aktivitet i röda team. Den 14 december, teamet Apache Log4j 2 frigörs Log4j 2.16.0 för att åtgärda dessa sårbarheter. Tills patchen tillämpas kommer alla befintliga Apache Log4j-servrar att vara potentiella mål för hackare.

Microsoft uppdaterade nyligen sin vägledning för att förhindra, upptäcka och leta efter utnyttjande av Log4j 2-sårbarheten. Enligt Microsoft utnyttjar angripare Log4j sårbarheter aktivt och exploateringsförsöken har varit höga under de sista veckorna i december. Microsoft nämnde att många befintliga angripare lade till utnyttjande av dessa sårbarheter i sina befintliga malware-kit och taktik och det finns stor potential för utökad användning av Log4j-sårbarheterna.

Microsoft publicerade följande vägledning för kunder:

• Kunder uppmuntras att använda skript och skanningsverktyg för att bedöma deras risk och påverkan.
• Microsoft har observerat angripare som använder många av samma inventeringstekniker för att lokalisera mål. Sofistikerade motståndare (som nationalstatsaktörer) och råvaruangripare har observerats utnyttja dessa sårbarheter.
• Microsoft rekommenderar kunder att göra ytterligare granskning av enheter där sårbara installationer upptäcks.
• Kunder bör anta bred tillgång till exploateringskod och scanningsfunktioner för att vara en verklig och aktuell fara för deras miljöer.
• På grund av de många mjukvara och tjänster som påverkas och med tanke på uppdateringstakten, förväntas detta ha en lång svans för sanering, vilket kräver pågående, hållbar vaksamhet.

Källa: Microsoft