Log4j威胁阴影仍未散，超13%运行实例存安全隐患

近日，软件供应链管理公司Sonatype发布了一项关于Log4j漏洞威胁情况的最新研究报告。该报告显示，尽管Log4Shell漏洞被发现已近三年，但仍有13%的活跃Log4j组件安装在易受攻击的版本中。这一数据虽然较2022年的40%有所改善，但考虑到该漏洞的广泛影响和公众认知度，这一比例显然仍过高。

Log4Shell漏洞于2021年底被发现，是一个严重的开源安全威胁。作为一个广泛使用的开源日志工具，Log4j被嵌入了数千个企业应用程序中。这个关键漏洞为攻击者打开了巨大的攻击面，在公开披露后的几小时内就出现了大规模的利用活动。Log4Shell事件凸显了开源组件中的漏洞能够影响整个软件生态系统，对各行各业的组织造成严重影响。

Sonatype的研究还揭示了一些令人担忧的趋势。2024年的一些关键漏洞修复耗时超过500天，尽管超过99%的软件包有更新版本可用，但80%的应用程序已超过一年仍未升级。这些数据表明，尽管安全社区对软件供应链安全的关注度不断提高，但实际的修复和升级进程仍然缓慢。

https://www.scworld.com/news/vulnerable-instances-of-log4j-still-being-used-nearly-3-years-later

网络攻击

APT34最新攻击手法揭秘：瞄准微软Exchange服务器

近日，趋势科技的网络安全研究人员发现，一个被称为"油气黑客"（又名Earth Simnavaz、APT34、OilRig）的黑客组织正在大肆利用Microsoft Exchange服务器窃取登录信息。该组织主要针对西亚和海湾地区的能源、政府和关键基础设施领域发起高级网络攻击。

研究人员介绍，该组织的攻击手法十分复杂，包括利用本地Exchange服务器，通过滥用丢弃的密码过滤策略来泄露凭证，并使用远程监控和管理（RMM）工具。他们还部署了名为"psgfilter.dll"的恶意DLL，以在LSA验证过程中拦截明文密码信息。此外，他们还使用名为"STEALHOOK"的自定义后门来检索被窃取的凭证，并通过电子邮件附件泄露数据，这些附件通常通过合法的政府Exchange服务器进行路由。

为了维持持久性，Earth Simnavaz还使用PowerShell脚本、Web Shell和.NET工具。他们的技术包括操作注册表、利用Exchange Web Services（EWS）API，以及利用ngrok工具创建隐蔽通道进行指挥控制（C&C）通信。这种综合性的攻击方法凸显了Earth Simnavaz对关键基础设施和政府系统构成的持续威胁，以及其不断演变的攻击能力。

https://cybersecuritynews.com/oilrig-hackers-microsoft-exchange-breach/