Bài học rút ra chính
- Tin tặc đã đăng một đoạn mã tiết lộ một cách khai thác trong thư viện ghi nhật ký Java được sử dụng rộng rãi.
- Cơ quan quản lý an ninh mạng nhận thấy quá trình quét hàng loạt trên web để tìm kiếm các máy chủ và dịch vụ có thể khai thác.
-
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã kêu gọi các nhà cung cấp và người dùng khẩn cấp vá và cập nhật phần mềm và dịch vụ của họ.
Toàn cảnh an ninh mạng đang bốc cháy do lỗ hổng dễ khai thác trong thư viện ghi nhật ký Java phổ biến, Log4j. Nó được sử dụng bởi mọi phần mềm và dịch vụ phổ biến và có lẽ đã bắt đầu ảnh hưởng đến người dùng máy tính để bàn và điện thoại thông minh hàng ngày.
Các chuyên gia an ninh mạng đang thấy rất nhiều trường hợp sử dụng cho việc khai thác Log4j đã bắt đầu xuất hiện trên dark web, từ việc khai thác máy chủ Minecraft đến các vấn đề cao cấp hơn mà họ tin rằng có thể ảnh hưởng đến iCloud của Apple.
"Lỗ hổng Log4j này có tác động nhỏ giọt, ảnh hưởng đến tất cả các nhà cung cấp phần mềm lớn có thể sử dụng thành phần này như một phần trong quá trình đóng gói ứng dụng của họ", John Hammond, Nhà nghiên cứu Bảo mật Cấp cao tại Huntress, nói với Lifewire qua email. "Cộng đồng bảo mật đã phát hiện ra các ứng dụng dễ bị tấn công từ các nhà sản xuất công nghệ khác như Apple, Twitter, Tesla, [và] Cloudflare, trong số những người khác. Như chúng tôi đã nói, ngành công nghiệp vẫn đang khám phá bề mặt tấn công rộng lớn và có nguy cơ gây ra lỗ hổng này."
Lửa trong hố
Lỗ hổng được theo dõi là CVE-2021-44228 và được đặt tên là Log4Shell, có điểm mức độ nghiêm trọng cao nhất là 10 trong hệ thống tính điểm lỗ hổng phổ biến (CVSS).
GreyNoise, phân tích lưu lượng truy cập Internet để thu thập các tín hiệu lưu ý về bảo mật, lần đầu tiên quan sát thấy hoạt động của lỗ hổng này vào ngày 9 tháng 12 năm 2021. Đó là khi các khai thác bằng chứng khái niệm (PoC) được vũ khí hóa bắt đầu xuất hiện, dẫn đến một sự gia tăng nhanh chóng của quá trình quét và khai thác công khai vào ngày 10 tháng 12 năm 2021 và đến cuối tuần.
Log4j được tích hợp nhiều vào một loạt các khuôn khổ DevOps và hệ thống CNTT doanh nghiệp cũng như trong phần mềm người dùng cuối và các ứng dụng đám mây phổ biến.
Giải thích về mức độ nghiêm trọng của lỗ hổng, Anirudh Batra, một nhà phân tích mối đe dọa tại CloudSEK, nói với Lifewire qua email rằng kẻ đe dọa có thể khai thác nó để chạy mã trên một máy chủ từ xa.
"Điều này khiến ngay cả các trò chơi phổ biến như Minecraft cũng dễ bị tấn công. Kẻ tấn công có thể khai thác nó chỉ bằng cách đăng tải trọng trong hộp trò chuyện. Không chỉ Minecraft mà các dịch vụ phổ biến khác như iCloud [và] Steam cũng dễ bị tấn công" Batra giải thích thêm rằng "việc kích hoạt lỗ hổng trong iPhone cũng đơn giản như việc thay đổi tên của thiết bị."
Mẹo của tảng băng
Công ty bảo mật không gian mạng Tenable gợi ý rằng vì Log4j được bao gồm trong một số ứng dụng web và được sử dụng bởi nhiều dịch vụ đám mây, phạm vi đầy đủ của lỗ hổng bảo mật sẽ không được biết trong một thời gian.
Công ty chỉ ra một kho lưu trữ GitHub theo dõi các dịch vụ bị ảnh hưởng, tại thời điểm viết bài này, danh sách khoảng ba chục nhà sản xuất và dịch vụ, bao gồm những nhà sản xuất và dịch vụ phổ biến như Google, LinkedIn, Webex, Blender và những nhà sản xuất khác đã đề cập trước đó.
Như chúng tôi đã nói, ngành công nghiệp vẫn đang khám phá bề mặt tấn công rộng lớn và có nguy cơ gây ra lỗ hổng này.
Cho đến nay, phần lớn hoạt động đã được quét, nhưng các hoạt động khai thác và hậu khai thác cũng đã được nhìn thấy.
"Microsoft đã quan sát thấy các hoạt động bao gồm cài đặt công cụ khai thác tiền xu, Cob alt Strike để cho phép đánh cắp thông tin xác thực và di chuyển ngang, cũng như lấy cắp dữ liệu từ các hệ thống bị xâm phạm", Microsoft Threat Intelligence Center viết.
Đánh sập các chốt
Vì vậy, không có gì ngạc nhiên khi Log4j dễ bị khai thác và phổ biến, Andrew Morris, Người sáng lập và Giám đốc điều hành của GreyNoise, nói với Lifewire rằng ông tin rằng các hoạt động thù địch sẽ tiếp tục gia tăng trong vài ngày tới.
Tuy nhiên, tin tốt là Apache, các nhà phát triển của thư viện dễ bị tấn công, đã phát hành một bản vá để che giấu việc khai thác. Nhưng giờ đây, các nhà sản xuất phần mềm phải vá các phiên bản của họ để bảo vệ khách hàng của họ.
Kunal Anand, CTO của công ty an ninh mạng Imperva, nói với Lifewire qua email rằng trong khi hầu hết các chiến dịch đối thủ khai thác lỗ hổng bảo mật hiện đang hướng tới người dùng doanh nghiệp, người dùng cuối cần phải cảnh giác và đảm bảo rằng họ cập nhật phần mềm bị ảnh hưởng của họ ngay khi có các bản vá lỗi.
Cảm xúc đó đã được Jen Easterly, Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) lặp lại.
"Người dùng cuối sẽ phụ thuộc vào nhà cung cấp của họ và cộng đồng nhà cung cấp phải ngay lập tức xác định, giảm thiểu và vá lỗi cho nhiều loại sản phẩm bằng cách sử dụng phần mềm này. Nhà cung cấp cũng nên giao tiếp với khách hàng của họ để đảm bảo người dùng cuối biết rằng sản phẩm của họ có chứa lỗ hổng này và nên ưu tiên các bản cập nhật phần mềm ", Easterly cho biết qua một tuyên bố.
