最早可能在 12 月 1 日开始使用 Java 日志库 Apache Log4j 中允许未经身份验证的远程代码执行的令人讨厌的漏洞。
Cloudflare 首席执行官马修·普林斯 (Matthew Prince) 在推特上说:“到目前为止,我们发现的#Log4J 漏洞利用的最早证据是 2021-12-01 04:36:50 UTC。”
“这表明它在公开披露前至少 9 天就已经在野外。但是,在公开披露之前不要看到大规模剥削的证据。”
Cisco Talos 在一篇博客文章中表示,它从 12 月 2 日开始观察到名为 CVE-2021-44228 的漏洞的活动,那些寻找妥协指标的人应该至少将搜索范围扩大到那个时候。
由于受到影响的库无处不在,Talos 表示,从攻击者进行大规模扫描到回调发生的时间很长,这可能是由于易受攻击但没有针对性的系统(例如 SIEM 和日志收集器)被开发。