雖然概念驗(yàn)證代碼是上周四發(fā)布的，但有證據(jù)表明已經(jīng)有黑客在 2 周前利用 Log4Shell 漏洞發(fā)起攻擊了。根據(jù) Cloudflare 和 Cisco Talos 的數(shù)據(jù)，第一批攻擊是在 12 月 1 日和 12 月 2 日觀察到的。

[[440249]]

雖然大規(guī)模的攻擊利用是在上周末開(kāi)始的，但這一啟示意味著安全團(tuán)隊(duì)需要擴(kuò)大他們的事件響應(yīng)調(diào)查，為了安全起見(jiàn)針對(duì)他們的網(wǎng)絡(luò)檢查要追溯到 11 月初。目前，濫用 Log4Shell 漏洞的攻擊仍然是溫和(tame)的--如果這個(gè)詞甚至可以用來(lái)描述對(duì)安全漏洞的濫用。

大量的攻擊來(lái)自于專(zhuān)業(yè)的密碼挖掘和 DDoS 僵尸網(wǎng)絡(luò)，如 Mirai、Muhstik 和 Kinsing，它們通常在所有人之前率先利用任何有意義的企業(yè)漏洞。但在周末的一篇博客文章中，微軟表示，它開(kāi)始觀察到 Log4Shell 被用來(lái)部署網(wǎng)絡(luò)外殼和Cobalt Strike信標(biāo)(后門(mén))的第一個(gè)實(shí)例。

CISA、NSA和一些網(wǎng)絡(luò)安全公司在過(guò)去一年中多次警告說(shuō)，網(wǎng)絡(luò)外殼和Cobalt Strike信標(biāo)的組合通常是民族國(guó)家集團(tuán)和勒索軟件團(tuán)伙在攻擊中部署的第一個(gè)工具，因此，雖然未經(jīng)證實(shí)，但如果我們?cè)诮裉旖Y(jié)束前得到第一個(gè)濫用Log4Shell的勒索軟件集團(tuán)，不要感到驚訝。

現(xiàn)在，對(duì)易受Log4Shell漏洞影響的互聯(lián)網(wǎng)連接系統(tǒng)的掃描絕對(duì)是通過(guò)屋頂。安全公司Kryptos Logic周日表示，它檢測(cè)到超過(guò)10,000個(gè)不同的IP地址探測(cè)互聯(lián)網(wǎng)，這是上周五探測(cè)Log4Shell的系統(tǒng)數(shù)量的100倍。

并非所有這些流量都是壞的，因?yàn)橐灿邪酌卑踩芯咳藛T和安全公司在尋找易受攻擊的系統(tǒng)，但大的情況是，威脅者已經(jīng)聞到了血腥味，IT管理員應(yīng)該看看他們基于Java的系統(tǒng)是否有易受Log4Shell攻擊。