雖然概念驗(yàn)證代碼是上周四發(fā)布的，但有證據(jù)表明已經(jīng)有黑客在 2 周前利用 Log4Shell 漏洞發(fā)起攻擊了。根據(jù) Cloudflare 和 Cisco Talos 的數(shù)據(jù)，第一批攻擊是在 12 月 1 日和 12 月 2 日觀察到的。

[[440249]]

雖然大規(guī)模的攻擊利用是在上周末開始的，但這一啟示意味著安全團(tuán)隊(duì)需要擴(kuò)大他們的事件響應(yīng)調(diào)查，為了安全起見針對他們的網(wǎng)絡(luò)檢查要追溯到 11 月初。目前，濫用 Log4Shell 漏洞的攻擊仍然是溫和(tame)的--如果這個(gè)詞甚至可以用來描述對安全漏洞的濫用。

大量的攻擊來自于專業(yè)的密碼挖掘和 DDoS 僵尸網(wǎng)絡(luò)，如 Mirai、Muhstik 和 Kinsing，它們通常在所有人之前率先利用任何有意義的企業(yè)漏洞。但在周末的一篇博客文章中，微軟表示，它開始觀察到 Log4Shell 被用來部署網(wǎng)絡(luò)外殼和Cobalt Strike信標(biāo)(后門)的第一個(gè)實(shí)例。

CISA、NSA和一些網(wǎng)絡(luò)安全公司在過去一年中多次警告說，網(wǎng)絡(luò)外殼和Cobalt Strike信標(biāo)的組合通常是民族國家集團(tuán)和勒索軟件團(tuán)伙在攻擊中部署的第一個(gè)工具，因此，雖然未經(jīng)證實(shí)，但如果我們在今天結(jié)束前得到第一個(gè)濫用Log4Shell的勒索軟件集團(tuán)，不要感到驚訝。

現(xiàn)在，對易受Log4Shell漏洞影響的互聯(lián)網(wǎng)連接系統(tǒng)的掃描絕對是通過屋頂。安全公司Kryptos Logic周日表示，它檢測到超過10,000個(gè)不同的IP地址探測互聯(lián)網(wǎng)，這是上周五探測Log4Shell的系統(tǒng)數(shù)量的100倍。

并非所有這些流量都是壞的，因?yàn)橐灿邪酌卑踩芯咳藛T和安全公司在尋找易受攻擊的系統(tǒng)，但大的情況是，威脅者已經(jīng)聞到了血腥味，IT管理員應(yīng)該看看他們基于Java的系統(tǒng)是否有易受Log4Shell攻擊。