Log4j漏洞威脅升級：非聯網本地系統也存在被攻擊風險

Blumira 公司的研究人員提供了更多壞消息。雖然以前的發現表明，受影響的系統需要某種類型的網絡或互聯網連接，但這家安全公司最近的發現，作為本地主機運行、沒有外部連接的服務也可以被利用。這一發現為研究人員指出了更多的使用案例，概述了破壞運行 Log4j 的未打補丁資產的其他方法。

Blumira 首席技術官 Matthew Warner 的一篇技術文章概述了惡意行為者如何影響脆弱的本地機器。Warner 說，WebSockets 是允許網絡瀏覽器和網絡應用程序之間快速、高效通信的工具，可以用來向沒有互聯網連接的脆弱應用程序和服務器提供有效載荷。這種特定的攻擊媒介意味著，只要攻擊者利用現有的 WebSocket 發送惡意請求，就可以破壞未連接但脆弱的資產。Warner 的帖子詳細介紹了惡意行為者發起基于 WebSocket 的攻擊的具體步驟。

Warner 指出，有可用的方法，組織可以用來檢測任何現有的Log4j漏洞。

1. 運行 Windows PoSh 或者 cross platform，旨在識別本地環境中使用Log4j的地方

2. 尋找任何被用作"cmd.exe/powershell.exe"的父進程的.*/java.exe實例

3. 確保你的組織被設置為檢測Cobalt Strike、TrickBot和相關常見攻擊工具的存在。

受影響的組織可以將其 Log4j 實例更新到 Log4j 2.16，以緩解該工具的漏洞。這包括任何組織可能已經應用了以前的補救措施，即2.15版，該版本后來被發現包括其自身的一系列相關漏洞。