在回報 Apache Log4Shell 漏洞之後,Sophos 繼續提供新的威脅情報,說明網路攻擊者如何已經利用或試圖利用未修補的系統。在 SophosLabs Uncut 文章《Log4Shell 地獄:漏洞利用爆發的剖析》中有詳細說明,包括:
- Sophos 發現利用或試圖利用此漏洞的攻擊迅速增加,截至目前為止已偵測到數十萬次攻擊
- 加密挖礦殭屍網路是最早使用這個攻擊的威脅,主要鎖定對象是尤其容易受到此漏洞影響的 Linux 伺服器
- Sophos 也發現試圖從服務中竊取資訊的攻擊,包括 Amazon Web Services 金鑰和其他私有資料
- Sophos 觀察到這些攻擊會不斷試探不同類型的網路服務。在 Sophos 偵測到的攻擊之中,大約 90% 的探測都是鎖定輕量型目錄存取通訊協定 (LDAP)。少數探測是針對 Java 的遠端介面 (RMI),但 Sophos 研究人員指出似乎還有更多與 RMI 相關的特殊攻擊
- Sophos 預計攻擊者會在未來幾天和幾週內加強和多樣化其攻擊方法和動機,包括利用勒索軟體
根據 SophosLabs Uncut 文章作者 Sophos 資深威脅研究員 Sean Gallagher 的說法:
「自 12 月 9 日以來,Sophos 已偵測到數十萬次使用 Log4Shell 弱點執行遠端執行程式碼的攻擊。最早出現的是概念驗證 (PoC),亦即安全研究人員和潛在攻擊者等進行的漏洞利用測試,以盡可能掃描出網路上的弱點,緊隨其後的是企圖安裝加密挖礦程式的惡意分子,包括 Kinsing 挖礦殭屍網路。最新情報表明,攻擊者正試圖透過這個弱點來偷取 Amazon Web Service 帳戶使用的金鑰。此外還有跡象顯示,攻擊者會利用該弱點在已被入侵的網路中安裝遠端存取工具如 Cobalt Strike,而它是許多勒索軟體攻擊中的關鍵工具。
相關文章: 核彈級漏洞Log4shell席捲全球,蘋果iCloud也恐遭駭
「Log4Shell 弱點為防禦人員帶來了各種挑戰。許多軟體弱點僅限於特定產品或平台,例如 ProxyLogon 和 Microsoft Exchange 中的 ProxyShell 漏洞。一旦防禦人員知道哪些軟體易受攻擊,他們就可以檢查並修補它。但是 Log4Shell 是一個被許多產品廣為使用的檔案庫,因此它存在於組織基礎架構的各個角落,例如由內部開發的任何軟體。找出所有容易因為 Log4Shell 而受攻擊的系統應該是 IT 安全的優先事項。
「Sophos 預計攻擊者利用和使用這個弱點的速度只會加劇,並在接下來的幾天和幾週內出現各種新的變化。一旦攻擊者取得網路的存取權限,任何感染都可能隨之而來。因此,除了 Apache 已在 Log4j 2.15.0 中發布的軟體更新之外,IT 安全團隊還需要徹底檢視網路上的活動,以發現並刪除任何入侵者的痕跡,即使它看起來只是像是令人討厭的商用惡意軟體。」
Sophos 首席研究科學家 Paul Ducklin 表示:「IPS、WAF和智慧型網路篩選等技術都有助於控制這一個全球性的漏洞。但是,以不同方式使用 Log4Shell 編碼的數量實在驚人,這些字串出現在網路流量中的許多不同位置,可能受到影響的各種伺服器和服務都對我們造成威脅。最好的回應作法非常明確:立即修補或減輕您自己系統的風險。」