在過去的一周時間里，對於IT管理員來說無疑是非常忙碌的，他們正在爭分奪秒地應對影響世界各地系統的Log4j漏洞。 隨著安全專家不斷發現日誌工具中的更多漏洞，IT 管理員不知疲倦地工作，以確定和關閉任何可能使漏洞被利用的潛在訪問。 不幸的是，一個新發現的載體已經證明，即使是沒有互聯網連接的孤立系統也可能有同樣的脆弱性，這使已經很嚴重的問題進一步複雜化。

Blumira 公司的研究人員提供了更多壞消息。 雖然以前的發現表明，受影響的系統需要某種類型的網路或互聯網連接，但這家安全公司最近的發現，作為本地主機運行、沒有外部連接的服務也可以被利用。 這一發現為研究人員指出了更多的使用案例，概述了破壞運行Log4j的未打補丁資產的其他方法。

Blumira 首席技術官 Matthew Warner 的一篇技術文章概述了惡意行為者如何影響脆弱的本地機器。 Warner 說，WebSockets 是允許網路瀏覽器和網路應用程式之間快速、高效通信的工具，可以用來向沒有互聯網連接的脆弱應用程式和伺服器提供有效載荷。 這種特定的攻擊媒介意味著，只要攻擊者利用現有的 WebSocket 發送惡意請求，就可以破壞未連接但脆弱的資產。 Warner 的帖子詳細介紹了惡意行為者發起基於 WebSocket 的攻擊的具體步驟。

Warner 指出，有可用的方法，組織可以用來檢測任何現有的Log4j漏洞。

1. 運行Windows PoSh或者cross platform，旨在識別本地環境中使用Log4j的地方

2. 尋找任何被用作「cmd.exe/powershell.exe」的父進程的.*/java.exe實例

3. 確保你的組織被設置為檢測Cobalt Strike、TrickBot和相關常見攻擊工具的存在。

受影響的組織可以將其Log4j實例更新到Log4j 2.16，以緩解該工具的漏洞。 這包括任何組織可能已經應用了以前的補救措施，即2.15版，該版本後來被發現包括其自身的一系列相關漏洞。