Một lỗ hổng rất nghiêm trọng trong Apache Log4j, triệu tập Log4Shell, hiện đã trở thành lỗ hổng bảo mật cao cấp nhất trên Internet ngay bây giờ với điểm nghiêm trọng 10/10 . Log4j là một thư viện Java mã nguồn mở để ghi lại các thông báo lỗi trong các ứng dụng, được sử dụng rộng rãi bởi vô số công ty công nghệ.
Do đó, dịch vụ của các công ty công nghệ lớn hiện đang mắc phải cái mà các chuyên gia bảo mật gọi là một trong những lỗ hổng nghiêm trọng nhất trong lịch sử gần đây. Lỗ hổng này có thể cho phép tin tặc truy cập không bị hạn chế vào hệ thống máy tính.
Theo báo cáo gần đây của Microsoft, ít nhất một chục nhóm kẻ tấn công đang cố gắng khai thác lỗ hổng này để lấy cắp thông tin đăng nhập hệ thống, cài đặt các công cụ khai thác tiền điện tử trên các hệ thống dễ bị tấn công, đánh cắp dữ liệu và đào sâu hơn trong các mạng bị xâm nhập.
Lỗ hổng nghiêm trọng đến mức cơ quan an ninh mạng của Chính phủ Hoa Kỳ đã đưa ra cảnh báo khẩn cấp cho tất cả các công ty dễ bị tấn công và đề nghị họ thực hiện các bước hiệu quả ngay lập tức. Tìm hiểu chi tiết mọi thứ về lỗ hổng Zero-day- Log4j và cách bạn có thể giữ an toàn trước lỗ hổng bảo mật.
Cập nhật : Phát hiện lỗ hổng Log4j thứ hai; Bản vá đã phát hành
Vào thứ Ba, một lỗ hổng thứ hai liên quan đến Apache Log4j đã được phát hiện. Điều này xảy ra sau khi các chuyên gia an ninh mạng đã dành nhiều ngày để vá hoặc giảm thiểu lỗi đầu tiên. Tên chính thức của lỗ hổng này là CVE 2021-45046.
Mô tả cho biết rằng bản sửa lỗi để giải quyết CVE-2021-44228 trong Apache Log4j 2.15.0 chưa hoàn thành trong một số cấu hình không phải mặc định. Điều này có thể cho phép những kẻ tấn công… tạo dữ liệu đầu vào độc hại bằng cách sử dụng mẫu Tra cứu JNDI dẫn đến tấn công từ chối dịch vụ (DOS)
Công ty bảo mật quốc tế ESET trình bày một bản đồ cho thấy nơi khai thác Log4j đang diễn ra.
Nguồn hình ảnh: TRƯỜNG HỢP
Điều tốt là Apache đã phát hành một bản vá, Log4j 2.16.0, để giải quyết và khắc phục sự cố này. Bản vá mới nhất giải quyết vấn đề bằng cách loại bỏ hỗ trợ cho các mẫu tra cứu tin nhắn và tắt chức năng JNDI theo mặc định.
Lỗ hổng Log4j là gì?
Lỗ hổng Log4j còn được gọi là Log4Shell là một vấn đề với thư viện Logj4 Java cho phép kẻ khai thác kiểm soát và thực thi mã tùy ý và giành quyền truy cập vào hệ thống máy tính. Tên chính thức của lỗ hổng này là CVE-2021-44228 .
Log4j là một thư viện Java mã nguồn mở, được tạo bởi Apache, có nhiệm vụ lưu giữ hồ sơ về tất cả các hoạt động trong một ứng dụng. Các nhà phát triển phần mềm sử dụng rộng rãi nó cho các ứng dụng của họ. Do đó, ngay cả những công ty công nghệ lớn nhất như Microsoft, Twitter và Apple cũng dễ bị tấn công vào lúc này.
Làm thế nào để phát hiện hoặc tìm thấy Lỗ hổng Log4j?
Lỗ hổng Log4Shell (Log4j) lần đầu tiên được các nhà nghiên cứu tại LunaSec phát hiện trong Minecraft do Microsoft sở hữu. Sau đó, các nhà nghiên cứu nhận ra rằng đó không phải là trục trặc của Minecraft và LunaSec đã cảnh báo rằng rất nhiều dịch vụ dễ bị khai thác này do sự hiện diện phổ biến của Log4j
Kể từ đó, nhiều báo cáo đã gọi nó là một trong những lỗ hổng nghiêm trọng nhất trong thời gian gần đây và một lỗ hổng sẽ ảnh hưởng đến Internet trong nhiều năm tới.
Lỗ hổng Log4j có thể làm gì?
Lỗ hổng Log4j có thể cấp quyền truy cập hoàn toàn vào hệ thống cho tin tặc / kẻ tấn công / kẻ khai thác. Họ chỉ cần thực thi một mã tùy ý để có được quyền truy cập không hạn chế. Lỗ hổng này cũng có thể cho phép họ có được quyền kiểm soát hoàn toàn máy chủ khi họ thao tác hệ thống đúng cách.
Định nghĩa kỹ thuật về lỗ hổng trong thư viện CVE (Các lỗ hổng phổ biến và các điểm tiếp xúc) nêu rõ rằng Kẻ tấn công có thể kiểm soát thông báo nhật ký hoặc các tham số thông báo nhật ký có thể thực thi mã tùy ý được tải từ máy chủ LDAP khi tính năng thay thế tra cứu thông báo được bật.
Do đó, Internet đang ở trong tình trạng báo động cao khi những kẻ khai thác liên tục cố gắng nhắm mục tiêu vào các hệ thống yếu kém.
Những thiết bị và ứng dụng nào có nguy cơ bị Lỗ hổng Log4j?
Lỗ hổng Log4j nghiêm trọng đối với bất kỳ kẻ gian nào đang chạy Apache Log4J phiên bản 2.0 đến 2.14.1 và có quyền truy cập Internet. Theo NCSC, các framework Apache Struts2, Solr, Druid, Flink và Swift bao gồm các phiên bản tình cảm (Log4j phiên bản 2 hoặc Log4j2).
Điều này đặt ra một số lượng lớn các dịch vụ bao gồm các dịch vụ từ những gã khổng lồ công nghệ như iCloud của Apple, Microsoft’s Minecraft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn, v.v.
Tại sao lỗ hổng này lại nghiêm trọng đến vậy và việc xử lý nó cực kỳ khó khăn?
Lỗ hổng này nghiêm trọng đến mức tin tặc cố gắng khai thác hơn 100 lần mỗi phút các hệ thống yếu nghiêm trọng bằng Apache Log4j2. Điều này khiến hàng triệu công ty có nguy cơ bị đánh cắp mạng.
Theo báo cáo, chỉ ở Ấn Độ, lỗ hổng này đã khiến 41% doanh nghiệp có nguy cơ bị hack. Check Point Research cho biết họ đã phát hiện hơn 846.000 cuộc tấn công khai thác lỗ hổng này.
Kryptos Logic, một công ty bảo mật đã thông báo rằng nó đã phát hiện ra hơn 10.000 địa chỉ IP khác nhau đang quét Internet và nó gấp 100 lần số lượng hệ thống đang thăm dò LogShell .
Lỗ hổng này rất lớn do Apache là máy chủ web được sử dụng rộng rãi nhất và Log4j là gói ghi nhật ký Java phổ biến nhất. Nó có hơn 400.000 lượt tải xuống chỉ từ kho lưu trữ GitHub.
Làm thế nào để Giữ An toàn khỏi Lỗ hổng Log4j?
Theo những người dùng mới nhất, Apache đang vá các sự cố cho mọi người trên Log4j 2.15.0 trở lên vì họ đang tắt hành vi theo mặc định. Các chuyên gia liên tục cố gắng cân nhắc làm thế nào để giảm thiểu rủi ro của mối đe dọa này và bảo vệ hệ thống. Microsoft và Cisco cũng đã công bố các lời khuyên cho lỗ hổng này.
LunaSec đã đề cập rằng Minecraft đã tuyên bố rằng người dùng có thể cập nhật trò chơi để tránh bất kỳ sự cố nào. Các dự án mã nguồn mở khác như Paper cũng đang phát hành các bản vá để khắc phục sự cố .
Cisco và VMware cũng đã phát hành các bản vá cho các sản phẩm bị ảnh hưởng của họ. Hầu hết các công ty Công nghệ lớn hiện đã giải quyết vấn đề này một cách công khai và đưa ra các biện pháp bảo mật cho người dùng cũng như nhân viên của họ. Họ chỉ cần tuân theo chúng một cách nghiêm ngặt.
Các chuyên gia đang nói gì về Lỗ hổng bảo mật Log4j?
Lỗ hổng Log4j đã khiến các quản trị viên hệ thống và các chuyên gia bảo mật phải lo lắng vào cuối tuần qua. Cisco và Cloudflare đã báo cáo rằng các tin tặc đã khai thác lỗi này từ đầu tháng này. Tuy nhiên, các con số đã tăng lên đáng kể sau khi Apache tiết lộ vào thứ Năm.
Thông thường, các công ty giải quyết những sai sót như vậy một cách riêng tư. Tuy nhiên, phạm vi ảnh hưởng của lỗ hổng này rất lớn nên các công ty phải giải quyết nó một cách công khai. Ngay cả cánh an ninh mạng của Chính phủ Hoa Kỳ đã đưa ra một cảnh báo nghiêm trọng.
Hôm thứ Bảy, Jen Easterly, Giám đốc Cơ quan An ninh Cơ sở hạ tầng và Không gian mạng Hoa Kỳ, đã nói rằng Lỗ hổng bảo mật đã được sử dụng bởi một 'nhóm các tác nhân đe dọa ngày càng tăng', lỗ hổng này là một trong những lỗ hổng nghiêm trọng nhất mà tôi từng thấy trong toàn bộ sự nghiệp của mình, nếu không muốn nói là nghiêm trọng nhất.
Chris Frohoff, một nhà nghiên cứu bảo mật độc lập nói rằng Điều gần như chắc chắn là trong nhiều năm, mọi người sẽ phát hiện ra cái đuôi dài của phần mềm dễ bị tấn công mới khi họ nghĩ về những nơi mới để đặt các chuỗi khai thác. Điều này có thể sẽ xuất hiện trong các bài đánh giá và thử nghiệm thâm nhập của các ứng dụng doanh nghiệp tùy chỉnh trong một thời gian dài.
Các chuyên gia tin rằng mặc dù điều quan trọng là phải nhận thức được tác động lâu dài sắp xảy ra của lỗ hổng, ưu tiên đầu tiên phải là thực hiện càng nhiều càng tốt ngay bây giờ để cắt giảm thiệt hại.
Vì những kẻ tấn công hiện sẽ tìm kiếm những cách sáng tạo hơn để khám phá và khai thác nhiều hệ thống nhất có thể, lỗ hổng đáng sợ này sẽ tiếp tục gây ra sự hủy diệt trên Internet trong nhiều năm tới!
