Một lỗ hổng thực thi mã nghiêm trọng trong Log4j đã được các chuyên gia bảo mật cảnh báo về những hậu quả thảm khốc có thể xảy ra đối với các tổ chức doanh nghiệp và ứng dụng web.
Lỗ hổng, được liệt kê là CVE-2021-44228 trong nhật ký Apache Log4j Security Vulnerabilities, cho phép những kẻ tấn công từ xa chiếm quyền kiểm soát hệ thống bị ảnh hưởng.
Log4j là gì?
Log4j là một khung hệ thống ghi nhật ký Apache mã nguồn mở được các nhà phát triển sử dụng để lưu trữ hồ sơ trong một ứng dụng.
Khai thác này trong thư viện ghi nhật ký Java phổ biến dẫn đến Thực thi mã từ xa (RCE). Kẻ tấn công sẽ gửi một chuỗi mã độc hại mà khi được ghi lại bởi Log4j, kẻ tấn công sẽ cho phép kẻ tấn công tải Java trên máy chủ và chiếm quyền kiểm soát.
Có dây báo cáo rằng những kẻ tấn công đã sử dụng chức năng trò chuyện của Minecraft để khai thác lỗ hổng vào chiều thứ Sáu.
Ai bị Ảnh hưởng bởi Vấn đề Bảo mật Log4j?
Vấn đề nghiêm trọng đến nỗi Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ đã đưa ra một thông báo 10 tháng 12 một phần nói rằng:
“CISA khuyến khích người dùng và quản trị viên xem xét Thông báo Apache Log4j 2.15.0 và nâng cấp lên Log4j 2.15.0 hoặc áp dụng các biện pháp giảm nhẹ được khuyến nghị ngay lập tức. ”
Quảng cáo
Tiếp tục đọc bên dưới
Nhật ký được tham chiếu ở trên phân loại mức độ nghiêm trọng của vấn đề là ‘Nghiêm trọng’ và mô tả nó là:
“Các tính năng JNDI của Apache Log4j2
Kẻ tấn công có thể kiểm soát thông báo nhật ký hoặc tham số thông báo nhật ký có thể thực thi mã tùy ý được tải từ máy chủ LDAP khi thay thế tra cứu thông báo được bật. ”
Marcus Hutchins từ MalwareTech.com cảnh báo rằng iCloud, Steam và Minecraft đều đã được xác nhận là dễ bị tấn công:
Lỗ hổng log4j (CVE-2021-44228) này cực kỳ nghiêm trọng. Hàng triệu ứng dụng sử dụng Log4j để ghi nhật ký và tất cả những gì kẻ tấn công cần làm là yêu cầu ứng dụng ghi nhật ký một chuỗi đặc biệt. Cho đến nay iCloud, Steam và Minecraft đều đã được xác nhận là dễ bị tấn công.
– Marcus Hutchins (@MalwareTechBlog) Ngày 10 tháng 12 năm 2021
Free Wortley, Giám đốc điều hành tại LunaSec, đã viết vào ngày 9 tháng 12 ‘RCE Zero-Day‘đăng trên blog rằng, “Bất kỳ ai sử dụng Apache Struts đều có thể dễ bị tấn công.”
Ông cũng nói, “Với mức độ phổ biến của thư viện này, tác động của việc khai thác (toàn quyền kiểm soát máy chủ) và mức độ dễ dàng khai thác, tác động của lỗ hổng này là khá nghiêm trọng.”
Quảng cáo
Tiếp tục đọc bên dưới
CERT, Nhóm Ứng cứu Khẩn cấp Máy tính của Áo, đã xuất bản một cảnh báo Thứ Sáu đã nêu những điều bị ảnh hưởng bao gồm:
“Tất cả các phiên bản Apache log4j từ 2.0 trở lên và bao gồm 2.14.1 và tất cả các khung công tác (ví dụ: Apache Struts2, Apache Solr, Apache Druid, Apache Flink, v.v.) sử dụng các phiên bản này.
Theo công ty bảo mật LunaSec, các phiên bản JDK 6u211, 7u201, 8u191 và 11.0.1 không bị ảnh hưởng trong cấu hình mặc định, vì điều này không cho phép tải cơ sở mã từ xa.
Tuy nhiên, nếu tùy chọn
com.sun.jndi.ldap.object.trustURLCodebase
Làtrue
vẫn có thể xảy ra một cuộc tấn công. “
Rob Joyce, Giám đốc An ninh mạng của NSA, đã tweet vào thứ Sáu rằng, “Lỗ hổng log4j là một mối đe dọa đáng kể đối với việc khai thác do sự phổ biến rộng rãi trong các khuôn khổ phần mềm, thậm chí cả GHIDRA của NSA.”
Khuyến nghị của chuyên gia bảo mật để chống lại các lỗ hổng Log4j
Kevin Beaumont cảnh báo rằng ngay cả khi bạn đã nâng cấp lên log4j-2.15.0-rc1, vẫn có một số lỗi:
Nếu bạn đã nâng cấp mã để sử dụng log4j-2.15.0-rc1 vừa được phát hành, nó vẫn dễ bị tấn công – bây giờ bạn cần áp dụng log4j-2.15.0-rc2 vì đã có một vòng bỏ qua. Chúng không có bản phát hành ổn định nào sửa chữa được.
– Kevin Beaumont (@GossiTheDog) Ngày 10 tháng 12 năm 2021
Marcus Hutchins từ MalwareTech.com cung cấp một giải pháp cho những người không thể nâng cấp Log4j:
Nếu không thể nâng cấp log4j, bạn có thể giảm thiểu lỗ hổng RCE bằng cách đặt log4j2.formatMsgNoLookups thành True (-Dlog4j2.formatMsgNoLookups = true trong dòng lệnh JVM).
– Marcus Hutchins (@MalwareTechBlog) Ngày 10 tháng 12 năm 2021
Matthew Prince, đồng sáng lập và CEO của Cloudflare, công bố thứ sáu:
“Chúng tôi đã xác định rằng # Log4J quá tệ, chúng tôi sẽ thử và triển khai ít nhất một số biện pháp bảo vệ cho tất cả Cloudflare khách hàng theo mặc định, ngay cả những khách hàng miễn phí không có WAF của chúng tôi. Đang làm cách nào để thực hiện điều đó một cách an toàn. ”
Chris Wysopal, đồng sáng lập và CTO tại Veracode, khuyên bạn nên nâng cấp lên tối thiểu Java 8:
Phiên bản vá lỗi của log4j 2.15.0 yêu cầu tối thiểu Java 8. Nếu bạn đang sử dụng Java 7, bạn sẽ cần nâng cấp lên Java8
Khi có hoạt động khai thác tích cực và bạn cần phải vá nhanh, điều đó có lợi nếu bạn đã cập nhật các phụ thuộc khác của mình theo thời gian.
– Chris Wysopal (@WeldPond) Ngày 10 tháng 12 năm 2021
Quảng cáo
Tiếp tục đọc bên dưới
Anh ấy cũng cảnh báo, “Có thể chỉ có 5% ứng dụng vẫn còn trên Java 7 nhưng đó là phần dài sẽ được khai thác trong những tháng tới. Đừng có một trong những thứ này trong tổ chức của bạn. “
Tìm ra ứng dụng nào trong tổ chức của bạn sử dụng Log4j sẽ là nhiệm vụ quan trọng.
Hình ảnh nổi bật: Shutterstock / solarseven
if( typeof sopp !== "undefined" && sopp === 'yes' ){ fbq('dataProcessingOptions', ['LDU'], 1, 1000); }else{ fbq('dataProcessingOptions', []); }
fbq('init', '1321385257908563');
fbq('track', 'PageView');
fbq('trackSingle', '1321385257908563', 'ViewContent', {
content_name: 'log4j-security-fail',
content_category: 'web-development '
});
Nguồn: www.searchenginejournal.com | Dịch bởi: Kênh Viễn Thông