Trang chủ » Lỗi bảo mật thảm khốc Log4j đe dọa hệ thống doanh nghiệp và ứng dụng web trên toàn thế giới

Lỗi bảo mật thảm khốc Log4j đe dọa hệ thống doanh nghiệp và ứng dụng web trên toàn thế giới

bởi Phạm Đại Nghĩa
0 bình luận
Lỗi bảo mật thảm khốc Log4j đe dọa hệ thống doanh nghiệp và ứng dụng web trên toàn thế giới


Một lỗ hổng thực thi mã nghiêm trọng trong Log4j đã được các chuyên gia bảo mật cảnh báo về những hậu quả thảm khốc có thể xảy ra đối với các tổ chức doanh nghiệp và ứng dụng web.

Lỗ hổng, được liệt kê là CVE-2021-44228 trong nhật ký Apache Log4j Security Vulnerabilities, cho phép những kẻ tấn công từ xa chiếm quyền kiểm soát hệ thống bị ảnh hưởng.

Log4j là gì?

Log4j là một khung hệ thống ghi nhật ký Apache mã nguồn mở được các nhà phát triển sử dụng để lưu trữ hồ sơ trong một ứng dụng.

Khai thác này trong thư viện ghi nhật ký Java phổ biến dẫn đến Thực thi mã từ xa (RCE). Kẻ tấn công sẽ gửi một chuỗi mã độc hại mà khi được ghi lại bởi Log4j, kẻ tấn công sẽ cho phép kẻ tấn công tải Java trên máy chủ và chiếm quyền kiểm soát.

Có dây báo cáo rằng những kẻ tấn công đã sử dụng chức năng trò chuyện của Minecraft để khai thác lỗ hổng vào chiều thứ Sáu.

Ai bị Ảnh hưởng bởi Vấn đề Bảo mật Log4j?

Vấn đề nghiêm trọng đến nỗi Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ đã đưa ra một thông báo 10 tháng 12 một phần nói rằng:

“CISA khuyến khích người dùng và quản trị viên xem xét Thông báo Apache Log4j 2.15.0 và nâng cấp lên Log4j 2.15.0 hoặc áp dụng các biện pháp giảm nhẹ được khuyến nghị ngay lập tức. ”

Quảng cáo

Tiếp tục đọc bên dưới

Nhật ký được tham chiếu ở trên phân loại mức độ nghiêm trọng của vấn đề là ‘Nghiêm trọng’ và mô tả nó là:

“Các tính năng JNDI của Apache Log4j2

Kẻ tấn công có thể kiểm soát thông báo nhật ký hoặc tham số thông báo nhật ký có thể thực thi mã tùy ý được tải từ máy chủ LDAP khi thay thế tra cứu thông báo được bật. ”

Marcus Hutchins từ MalwareTech.com cảnh báo rằng iCloud, Steam và Minecraft đều đã được xác nhận là dễ bị tấn công:

Free Wortley, Giám đốc điều hành tại LunaSec, đã viết vào ngày 9 tháng 12 ‘RCE Zero-Day‘đăng trên blog rằng, “Bất kỳ ai sử dụng Apache Struts đều có thể dễ bị tấn công.”

Ông cũng nói, “Với mức độ phổ biến của thư viện này, tác động của việc khai thác (toàn quyền kiểm soát máy chủ) và mức độ dễ dàng khai thác, tác động của lỗ hổng này là khá nghiêm trọng.”

Quảng cáo

Tiếp tục đọc bên dưới

CERT, Nhóm Ứng cứu Khẩn cấp Máy tính của Áo, đã xuất bản một cảnh báo Thứ Sáu đã nêu những điều bị ảnh hưởng bao gồm:

“Tất cả các phiên bản Apache log4j từ 2.0 trở lên và bao gồm 2.14.1 và tất cả các khung công tác (ví dụ: Apache Struts2, Apache Solr, Apache Druid, Apache Flink, v.v.) sử dụng các phiên bản này.

Theo công ty bảo mật LunaSec, các phiên bản JDK 6u211, 7u201, 8u191 và 11.0.1 không bị ảnh hưởng trong cấu hình mặc định, vì điều này không cho phép tải cơ sở mã từ xa.

Tuy nhiên, nếu tùy chọn com.sun.jndi.ldap.object.trustURLCodebasetruevẫn có thể xảy ra một cuộc tấn công. “

Rob Joyce, Giám đốc An ninh mạng của NSA, đã tweet vào thứ Sáu rằng, “Lỗ hổng log4j là một mối đe dọa đáng kể đối với việc khai thác do sự phổ biến rộng rãi trong các khuôn khổ phần mềm, thậm chí cả GHIDRA của NSA.”

Khuyến nghị của chuyên gia bảo mật để chống lại các lỗ hổng Log4j

Kevin Beaumont cảnh báo rằng ngay cả khi bạn đã nâng cấp lên log4j-2.15.0-rc1, vẫn có một số lỗi:

Marcus Hutchins từ MalwareTech.com cung cấp một giải pháp cho những người không thể nâng cấp Log4j:

Matthew Prince, đồng sáng lập và CEO của Cloudflare, công bố thứ sáu:

Chúng tôi đã xác định rằng # Log4J quá tệ, chúng tôi sẽ thử và triển khai ít nhất một số biện pháp bảo vệ cho tất cả Cloudflare khách hàng theo mặc định, ngay cả những khách hàng miễn phí không có WAF của chúng tôi. Đang làm cách nào để thực hiện điều đó một cách an toàn. ”

Chris Wysopal, đồng sáng lập và CTO tại Veracode, khuyên bạn nên nâng cấp lên tối thiểu Java 8:

Quảng cáo

Tiếp tục đọc bên dưới

Anh ấy cũng cảnh báo, “Có thể chỉ có 5% ứng dụng vẫn còn trên Java 7 nhưng đó là phần dài sẽ được khai thác trong những tháng tới. Đừng có một trong những thứ này trong tổ chức của bạn. “

Tìm ra ứng dụng nào trong tổ chức của bạn sử dụng Log4j sẽ là nhiệm vụ quan trọng.


Hình ảnh nổi bật: Shutterstock / solarseven

if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }

fbq('init', '1321385257908563');

fbq('track', 'PageView');

fbq('trackSingle', '1321385257908563', 'ViewContent', { content_name: 'log4j-security-fail', content_category: 'web-development ' });



Nguồn: www.searchenginejournal.com | Dịch bởi: Kênh Viễn Thông

Có thể bạn thích

Để lại một bình luận