在過去的一周時間里，對于 IT 管理員來說無疑是非常忙碌的，他們正在爭分奪秒地應對影響世界各地系統的 Log4j 漏洞。隨著安全專家不斷發現日志工具中的更多漏洞，IT 管理員不知疲倦地工作，以確定和關閉任何可能使漏洞被利用的潛在訪問。不幸的是，一個新發現的載體已經證明，即使是沒有互聯網連接的孤立系統也可能有同樣的脆弱性，這使已經很嚴重的問題進一步復雜化。

Blumira 公司的研究人員提供了更多壞消息。雖然以前的發現表明，受影響的系統需要某種類型的網絡或互聯網連接，但這家安全公司最近的發現，作為本地主機運行、沒有外部連接的服務也可以被利用。這一發現為研究人員指出了更多的使用案例，概述了破壞運行 Log4j 的未打補丁資產的其他方法。

Blumira 首席技術官 Matthew Warner 的一篇技術文章概述了惡意行為者如何影響脆弱的本地機器。Warner 說，WebSockets 是允許網絡瀏覽器和網絡應用程序之間快速、高效通信的工具，可以用來向沒有互聯網連接的脆弱應用程序和服務器提供有效載荷。這種特定的攻擊媒介意味著，只要攻擊者利用現有的 WebSocket 發送惡意請求，就可以破壞未連接但脆弱的資產。Warner 的帖子詳細介紹了惡意行為者發起基于 WebSocket 的攻擊的具體步驟。

Warner 指出，有可用的方法，組織可以用來檢測任何現有的Log4j漏洞。

• 運行 Windows PoSh或者cross platform，旨在識別本地環境中使用Log4j的地方
• 尋找任何被用作"cmd.exe/powershell.exe"的父進程的.*/java.exe實例
• 確保你的組織被設置為檢測Cobalt Strike、TrickBot和相關常見攻擊工具的存在。

受影響的組織可以將其 Log4j 實例更新到 Log4j 2.16，以緩解該工具的漏洞。這包括任何組織可能已經應用了以前的補救措施，即2.15版，該版本后來被發現包括其自身的一系列相關漏洞。