Tổ chức Phần mềm Apache đã phát hành các bản sửa lỗi để chứa một tích cực đã khai thác lỗ hổng zero-day ảnh hưởng đến thư viện ghi nhật ký dựa trên Java Apache Log4j được sử dụng rộng rãi. Thư viện này có thể được vũ khí hóa để thực thi mã độc và cho phép tiếp quản hoàn toàn các hệ thống dễ bị tấn công.
Được theo dõi là CVE-2021-44228 và bởi các biệt danh Log4Shell hoặc LogJam, sự cố liên quan đến trường hợp thực thi mã từ xa, không được xác thực (RCE) trên bất kỳ ứng dụng nào sử dụng tiện ích nguồn mở và ảnh hưởng đến các phiên bản Log4j 2.0-beta9 cho đến 2.14. 1. Lỗi này đã đạt điểm 10 trên 10 hoàn hảo trong hệ thống xếp hạng CVSS, cho thấy mức độ nghiêm trọng của vấn đề.
“Kẻ tấn công có thể kiểm soát thông điệp tường trình hoặc tham số thông điệp tường trình có thể thực thi mã tùy ý được tải từ máy chủ LDAP khi tính năng thay thế tra cứu thông báo được bật”, Apache Foundation cho biết trong một lời khuyên. “Từ Log4j 2.15.0, hành vi này đã bị tắt theo mặc định.”
Việc khai thác có thể đạt được bằng một chuỗi văn bản duy nhất, có thể kích hoạt ứng dụng tiếp cận với máy chủ bên ngoài độc hại nếu nó được ghi lại thông qua phiên bản Log4j dễ bị tổn thương, cấp cho kẻ thù khả năng truy xuất tải trọng từ máy chủ từ xa một cách hiệu quả và thực hiện nó cục bộ. Những người duy trì dự án đã ghi nhận Chen Zhaojun của Nhóm bảo mật đám mây Alibaba vì đã phát hiện ra vấn đề.
Log4j được một số nhà sản xuất sử dụng làm gói ghi nhật ký trong nhiều phần mềm phổ biến khác nhau, bao gồm Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter và các trò chơi điện tử như Minecraft. Trong trường hợp thứ hai, những kẻ tấn công đã có thể đạt được RCE trên Máy chủ Minecraft chỉ bằng cách dán một tin nhắn được tạo đặc biệt vào hộp trò chuyện.
Một bề mặt tấn công lớn
“Lỗ hổng zero-day của Apache Log4j có lẽ là lỗ hổng nghiêm trọng nhất mà chúng tôi đã thấy trong năm nay,” Bharat Jogi, quản lý cấp cao về lỗ hổng và chữ ký tại Qualys cho biết. “Log4j là một thư viện phổ biến được sử dụng bởi hàng triệu ứng dụng Java để ghi lại các thông báo lỗi. Lỗ hổng này rất khó khai thác.”
Các công ty an ninh mạng BitDefender, Cisco Talos, Huntress Labs và Sonatype đều đã xác nhận bằng chứng về quét hàng loạt của các ứng dụng bị ảnh hưởng ngoài tự nhiên đối với các máy chủ dễ bị tấn công và các cuộc tấn công được đăng ký nhằm vào mạng honeypot của chúng sau khi có bằng chứng về khái niệm (PoC) khai thác. Ilkka Turunen của Sonatype cho biết: “Đây là một đòn tấn công có kỹ năng thấp và cực kỳ đơn giản để thực hiện.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
GreyNoise, ví lỗ hổng này giống như Shellshock, cho biết họ đã quan sát thấy hoạt động độc hại nhắm vào lỗ hổng bắt đầu từ ngày 9 tháng 12 năm 2021. Công ty cơ sở hạ tầng web Cloudflare lưu ý rằng họ đã chặn khoảng 20.000 yêu cầu khai thác mỗi phút vào khoảng 6:00 chiều UTC vào thứ Sáu, với hầu hết các yêu cầu khai thác các nỗ lực khai thác có nguồn gốc từ Canada, Hoa Kỳ, Hà Lan, Pháp và Vương quốc Anh
Do tính dễ khai thác và mức độ phổ biến của Log4j trong CNTT và DevOps của doanh nghiệp, các cuộc tấn công tự nhiên nhằm vào các máy chủ dễ bị tấn công dự kiến sẽ gia tăng trong những ngày tới, khiến cho việc xử lý lỗ hổng này ngay lập tức là bắt buộc. Công ty an ninh mạng của Israel Cybereason cũng đã phát hành một bản sửa lỗi có tên “Logout4Shell” để khắc phục thiếu sót bằng cách sử dụng chính lỗ hổng để định cấu hình lại trình ghi nhật ký và ngăn chặn việc khai thác thêm cuộc tấn công.
“Lỗ hổng Log4j (CVE-2021-44228) này cực kỳ nghiêm trọng. Hàng triệu ứng dụng sử dụng Log4j để ghi nhật ký và tất cả những gì kẻ tấn công cần làm là khiến ứng dụng ghi nhật ký một chuỗi đặc biệt”, chuyên gia bảo mật Marcus Hutchins nói trong một tweet.
