資安公司 Cloudflare 警告說,攻擊者正積極嘗試利用第二個Log4j的漏洞(CVE-2021-45046, CVE-2021-45046 的 CVSS 得分為 3.7,影響從 2.0-beta9 到 2.12.1 和 2.13.0 到 2.15.0(已發布以修補 CVE-2021-44228)的 Log4j 版本。可使攻擊者有進行分散式阻斷服務攻擊(DDoS),建議用戶必須迅速採取行動安裝最新版本,因為一連串的攻擊繼續攻擊未修補的系統各種惡意軟體。
Cloudflare認為即使之前已經更新到 2.15.0的 Log4j 版本,現在也應該盡快更新到 2.16.0 版本。2.16.0版本取消對訊息查找模式的支援並默認禁用 JNDI 功能來解決 CVE-2021-45046。
但更令人不安的是,緊隨 CVE-2021-45046 之後,根據資安公司 Praetorian 的研究人員警告說,發現2.15.0的 Log4j 版本中存在第三個單獨的安全漏洞,該漏洞可以在某些情況下洩露敏感數據。該漏洞的其他技術細節已被保留以防止進一步利用,但目前尚不清楚這是否已在 2.16.0 版中解決。目前Praetorian已將該問題的技術細節滙報給Apache軟體基金會。
全球基礎設施持續受到攻擊,已記錄了超過180 萬次嘗試Log4j 漏洞的利用,微軟研究人員報告說,來自中國、伊朗、北韓和土耳其的國家級駭客正在他們的活動中濫用Log4J的Log4Shell漏洞 (CVE-2021-44228)。據了解,一些利用該漏洞的組織是與中國有關的 Hafnium駭客組織和與伊朗有關的 Phosphorus駭客組織,前者利用該漏洞攻擊虛擬化基礎設施,後者部署勒索軟體。
微軟專家還表示,多個訪問代理已經開始使用 Log4Shell 漏洞來獲得對目標網絡的初始訪問權限,然後將其出售給勒索軟體即服務的附屬公司。
微軟專家還表示,多個access broker駭客服務業者已經開始使用Log4Shell漏洞來獲取對目標網路的初始存取權,然後將其出售給勒索軟體附屬會員。
其他相關Log4j的報導: