当第三个漏洞出现时，黑客开始利用第二个Log4j漏洞

网络基础设施公司Cloudflare周三透露，威胁参与者正在积极尝试利用广泛使用的Log4j日志实用程序中披露的第二个漏洞进行攻击，这使得客户必须迅速安装最新版本，因为一连串的攻击继续用各种恶意软件攻击未修补的系统。

新的漏洞，分配了标识符CVE-2021-45046，使得对手可以执行拒绝服务（DoS）攻击，并遵循来自Apache软件基金会（ASF）的公开，即对远程代码执行bug的最初修复（8212）；CVE-2021-44228又名Log4Shell和#8212；“在某些非默认配置中不完整。”这个问题已经在Log4j版本2.16.0中得到了解决。

Cloudflare的Andre Bluehs和Gabriel Gabor说：“这个漏洞正在被积极利用，任何使用Log4j的人都应该尽快更新到2.16.0版，即使之前已经更新到了2.15.0版。”。

更令人不安的是，安全公司Praetorian的研究人员警告说，Log4j 2.15.0版中还有第三个单独的安全漏洞，它“允许在某些情况下过滤敏感数据”该漏洞的其他技术细节已被保留，以防止进一步利用，但目前尚不清楚2.16.0版是否已经解决了这一问题。

Praetorian首席安全工程师Anthony Weems告诉《黑客新闻》：“2.16默认禁用JNDI查找，因此，—；是我们所知的最安全的Log4j2版本。”。当获得回复时，Apache Logging Services项目管理委员会（PMC）确认，“我们已经与Praetorian的工程师联系，以充分了解问题的性质和范围。”

最新的进展是，来自中国、伊朗、朝鲜和土耳其的高级持续威胁组织，包括铪和磷，已经加入到这场斗争中，以操作该漏洞，发现并继续利用尽可能多的易受影响系统进行后续攻击。迄今为止，已有超过180万人试图利用Log4j漏洞进行攻击。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）表示，它还观察到访问代理利用Log4Shell漏洞获得对目标网络的初始访问权，这些网络随后被出售给其他勒索软件附属公司。此外，迄今为止，已有数十个恶意软件家族利用这一缺陷，从加密货币硬币矿工、远程访问特洛伊木马到僵尸网络和网络外壳。

虽然威胁行为体通常会在修复新披露的漏洞之前努力利用这些漏洞，但Log4j漏洞强调了当一个关键软件在多个供应商的广泛产品中使用并由其全球客户部署时，软件供应链所产生的风险。

工业网络安全公司Dragos指出：“这种跨领域的漏洞与供应商无关，影响专有软件和开源软件，将使许多行业面临远程攻击，包括电力、水、食品和饮料、制造业、运输业等。”。

该公司补充说：“随着网络防御者关闭更简单的攻击路径，高级对手将漏洞纳入攻击中，Log4j攻击的更复杂变体将出现，直接影响运营技术网络的可能性更大。”。