Bài học rút ra chính
- Hàng nghìn máy chủ và dịch vụ trực tuyến vẫn có lỗ hổng loj4j nguy hiểm và có thể khai thác dễ dàng, hãy tìm các nhà nghiên cứu.
- Mặc dù các mối đe dọa chính là chính các máy chủ, nhưng các máy chủ bị lộ cũng có thể khiến người dùng cuối gặp rủi ro, các chuyên gia an ninh mạng đề xuất.
- Thật không may, hầu hết người dùng có thể làm ít việc để khắc phục sự cố ngoài việc tuân theo các phương pháp bảo mật tốt nhất dành cho máy tính để bàn.
Lỗ hổng log4J nguy hiểm không chịu chết, thậm chí vài tháng sau khi có bản sửa lỗi dễ khai thác.
Các nhà nghiên cứu an ninh mạng tại Rezilion gần đây đã phát hiện ra hơn 90.000 ứng dụng Internet dễ bị tấn công, bao gồm hơn 68.000 máy chủ Minecraft có khả năng dễ bị tấn công mà quản trị viên chưa áp dụng các bản vá bảo mật, khiến họ và người dùng của họ bị tấn công mạng. Và bạn có thể làm được điều đó rất ít.
"Thật không may, log4j sẽ ám ảnh người dùng internet chúng tôi trong một thời gian dài", Harman Singh, Giám đốc tại nhà cung cấp dịch vụ an ninh mạng Cyphere, nói với Lifewire qua email. "Vì vấn đề này được khai thác từ phía máy chủ, [mọi người] không thể làm gì nhiều để tránh tác động của sự xâm phạm máy chủ."
Ám ảnh
Lỗ hổng, có tên là Log4 Shell, lần đầu tiên được trình bày chi tiết vào tháng 12 năm 2021. Trong một cuộc họp báo qua điện thoại hồi đó, Giám đốc cơ quan an ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA), Jen Easterly, đã mô tả lỗ hổng này là "một trong những nghiêm trọng mà tôi đã thấy trong toàn bộ sự nghiệp của mình, nếu không muốn nói là nghiêm trọng nhất."
Trong một cuộc trao đổi qua email với Lifewire, Pete Hay, Trưởng nhóm hướng dẫn tại công ty đào tạo và kiểm tra an ninh mạng SimSpace, cho biết phạm vi của vấn đề có thể được đánh giá từ việc tổng hợp các dịch vụ và ứng dụng dễ bị tấn công từ các nhà cung cấp phổ biến như Apple, Steam, Twitter, Amazon, LinkedIn, Tesla và hàng chục công ty khác. Không có gì đáng ngạc nhiên, cộng đồng an ninh mạng đã phản ứng hết sức mạnh mẽ, với việc Apache đưa ra một bản vá gần như ngay lập tức.
Chia sẻ phát hiện của họ, các nhà nghiên cứu của Rezilion hy vọng rằng phần lớn, nếu không phải tất cả, các máy chủ dễ bị tấn công sẽ được vá, với lượng lớn phương tiện truyền thông đưa tin về lỗi này. Các nhà nghiên cứu ngạc nhiên viết: “Chúng tôi đã sai. "Thật không may, mọi thứ còn xa lý tưởng và nhiều ứng dụng dễ bị tấn công bởi Log4 Shell vẫn còn tồn tại trong tự nhiên."
Các nhà nghiên cứu đã tìm thấy các trường hợp dễ bị tấn công khi sử dụng công cụ tìm kiếm Shodan Internet of Things (IoT) và tin rằng kết quả chỉ là phần nổi của tảng băng chìm. Bề mặt tấn công dễ bị tấn công thực tế lớn hơn rất nhiều.
Bạn có gặp rủi ro không?
Mặc dù bề mặt tấn công lộ ra khá đáng kể, Hay tin rằng có một số tin tốt cho người dùng gia đình bình thường. "Phần lớn các lỗ hổng [Log4J] này tồn tại trên các máy chủ ứng dụng và do đó rất ít có khả năng ảnh hưởng đến máy tính gia đình của bạn", Hay.
Tuy nhiên, Jack Marsal, Giám đốc Cấp cao, Tiếp thị Sản phẩm của nhà cung cấp bảo mật mạng WhiteSource, chỉ ra rằng mọi người tương tác với các ứng dụng trên internet mọi lúc, từ mua sắm trực tuyến đến chơi trò chơi trực tuyến, khiến chúng bị tấn công thứ cấp. Một máy chủ bị xâm nhập có thể tiết lộ tất cả thông tin mà nhà cung cấp dịch vụ nắm giữ về người dùng của họ.
"Không có cách nào mà một cá nhân có thể chắc chắn rằng các máy chủ ứng dụng mà họ tương tác không dễ bị tấn công", Marsal cảnh báo. "Khả năng hiển thị đơn giản là không tồn tại."
Thật không may, mọi thứ còn xa lý tưởng và nhiều ứng dụng dễ bị tấn công bởi Log4 Shell vẫn còn tồn tại trong tự nhiên.
Về một lưu ý tích cực, Singh chỉ ra rằng một số nhà cung cấp đã giúp người dùng gia đình khắc phục lỗ hổng khá đơn giản. Ví dụ, khi chỉ vào thông báo chính thức của Minecraft, anh ấy nói rằng những người chơi phiên bản Java của trò chơi chỉ cần đóng tất cả các phiên bản đang chạy của trò chơi và khởi động lại trình khởi chạy Minecraft, phiên bản này sẽ tự động tải xuống phiên bản vá lỗi.
Quá trình phức tạp hơn một chút và có liên quan nếu bạn không chắc mình đang chạy ứng dụng Java nào trên máy tính của mình. Hay đề xuất tìm kiếm các tệp có phần mở rộng.jar,.ear hoặc.war. Tuy nhiên, ông nói thêm rằng sự hiện diện đơn thuần của những tệp này là không đủ để xác định xem chúng có bị lộ lỗ hổng log4j hay không.
Ông ấy đề nghị mọi người sử dụng các tập lệnh do Viện Kỹ thuật Phần mềm Đại học Carnegie Mellon (CMU) (SEI) Nhóm Sẵn sàng Khẩn cấp Máy tính (CERT) đưa ra để dò tìm lỗ hổng bảo mật trên máy tính của họ. Tuy nhiên, các tập lệnh không có đồ họa và việc sử dụng chúng yêu cầu phải xuống dòng lệnh.
Tất cả những điều đã được xem xét, Marsal tin rằng trong thế giới kết nối ngày nay, mọi người phải nỗ lực hết sức để duy trì sự an toàn. Singh đồng ý và khuyên mọi người nên tuân theo các phương pháp bảo mật cơ bản dành cho máy tính để bàn để luôn cập nhật mọi hoạt động độc hại do khai thác lỗ hổng bảo mật.
"[Mọi người] có thể đảm bảo hệ thống và thiết bị của họ được cập nhật và áp dụng các biện pháp bảo vệ điểm cuối", Singh đề xuất. "Điều này sẽ giúp họ có bất kỳ cảnh báo gian lận nào và ngăn chặn mọi sự cố từ các hoạt động khai thác hoang dã."