在12月之前微軟探測系統中發現的Log4j“Log4Shell”缺陷后，微軟已警告Windows和Azure 客戶保持警惕。

Apache軟件基金會披露，Log4Shell可能需要數年時間才能修復，因為錯誤日志軟件組件在應用程序和服務中的使用范圍非常廣泛。

美國聯邦貿易委員會已發出警告，將追捕未修復Java 日志記錄包 Log4j 中的漏洞的公司。

該機構周二表示：“FTC 打算利用其全部法律權力追究未能采取合理措施保護消費者數據免遭 Log4j 或未來類似已知漏洞暴露的公司。未能識別和修補該軟件的實例可能違反 FTC 法案。”

FTC表示：“Log4j 漏洞是更廣泛的結構性問題的一部分。它是數以千計的鮮為人知但至關重要的開源服務之一，這些服務在幾乎無數的互聯網公司中使用。” 

本周二早些時候，微軟警告說，客戶可能不知道 Log4j 問題在他們的環境中有多普遍。在過去的一個月里，微軟發布了許多更新，包括對其 Defender 安全軟件的更新，以幫助客戶在攻擊者加強掃描活動時識別問題。

LOG4J 缺陷覆蓋范圍

• Log4j缺陷：攻擊者正在嘗試利用此嚴重漏洞進行數以千計的嘗試
• 安全警告：Log4j Java 庫中的新零日漏洞已被利用
• Log4j RCE活動于12月1日開始，因為僵尸網絡開始使用漏洞

“在12月的最后幾周，攻擊嘗試和測試一直很高。我們觀察到許多現有的攻擊者在他們現有的惡意軟件工具包和策略中添加了對這些漏洞的利用，從硬幣礦工到手動鍵盤攻擊，”Microsoft 365 Defender威脅情報團隊和微軟威脅情報中心(MSTIC)在1月3日的更新中表示。

客戶應該假設漏洞利用代碼和掃描功能的廣泛可用性對他們的環境構成真實存在的危險。因此，它鼓勵客戶利用腳本和掃描工具來評估他們的風險和影響。

目前，微軟已經觀察到攻擊者使用許多相同的庫存技術來定位目標。已經觀察到復雜的對手(如民族國家行為者)和商品攻擊者都在利用這些漏洞。擴大使用這些漏洞的潛力很大。該漏洞可能讓一些安全團隊在圣誕節期間沒有太多休息時間，以至于英國NCSC發出警告，提防負責修復工作的員工倦怠。

就在元旦之前，微軟在適用于Windows 10和 11、Windows Server 和 Linux 系統的 Microsoft 365 Defender 門戶中推出了一個新的 Log4j 儀表板，用于威脅和漏洞管理。該系統旨在幫助客戶查找和修復受 Log4j 漏洞影響的文件、軟件和設備。CISA 和 CrowdStrike還在圣誕節前發布了 Log4j 掃描器。

如何確保公司安全

• Log4j 零日漏洞：您需要知道的以及如何保護自己
• 安全警告：Log4j Java 庫中的新零日漏洞已被利用
• Log4j 缺陷可能是“未來幾年”工業網絡的一個問題

CISA官員認為，數以億計的設備受到 Log4j 的影響。與此同時，思科和Vmware等主要技術供應商繼續為受影響的產品發布補丁。

Log4Shell 漏洞現在包括原始 CVE-2021-44228 和四個相關缺陷，其中最新的是CVE-2021-44832。然而，這只是在 12 月 28 日的 Log4j 版本 2.17.1 更新中解決的中等嚴重性問題。Apache 軟件基金會在其公告中詳細介紹了每個 Log4j 漏洞，涵蓋CVE-2021-44228、CVE-2021-45105和CVE-2021-45046。