Log4Shell mối nguy cơ mới của các doanh nghiệp

  • Wednesday 29/12/2021

Log4Shell mối nguy cơ mới của các doanh nghiệp

Chỉ trong vòng một tuần, hackers đã thực hiện hơn 1,2 triệu cuộc tấn công thông qua lỗ hổng mang tên Log4Shell, lỗ hổng này được coi là sẽ đem đến nỗi “ám ảnh” trên Internet trong cả hiện tại và nhiều năm về sau.

1. Log4Shell và những điều cần biết

Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA) trực thuộc Bộ An ninh Nội địa Mỹ mới đây đã đưa ra cảnh báo khẩn cấp về lỗ hổng mang tên Log4Shell trên phần mềm Apache Log4j và thúc giục các doanh nghiệp sớm có hành động khắc phục. Ở giai đoạn cao điểm, các chuyên gia ghi nhận trung bình hơn 100 đợt tấn công được thực hiện mỗi phút. Ngày 11/12, Giám đốc CISA Jen Easterly thông báo: “Lỗ hổng này đem lại nguy cơ nghiêm trọng và cần sự hợp tác giữa chính phủ Mỹ và khu vực tư nhân để giảm tối thiểu thiệt hại”.

Mức độ nghiêm trọng của lỗ hổng Log4Shell

Lỗ hổng bảo mật Log4Shell hay LogJam, mã định danh CVE-2021-44228, có thể bị khai thác thông qua gửi một chuỗi (string) đặc biệt tới hệ thống. Log4Shell là lỗ hổng tồn tại trên Apache Log4j, thư viện ghi nhật ký hoạt động (log) trong Java, vốn được sử dụng phổ biến trong nhiều ứng dụng và các mạng nội bộ, máy chủ của doanh nghiệp, tổ chức.

Chương trình logging có nhiệm vụ ghi nhật ký các sự kiện, không có chức năng chủ động chạy mã. Nhưng dữ liệu do Log4j lấy vào thường không được dọn dẹp thường xuyên, dẫn tới việc những kẻ tấn công có thể chèn mã độc hại vào và yêu cầu máy chủ java chạy đoạn mã đó.

 

Java là môi trường đa nền tảng được thiết kế để phù hợp với nhiều hệ điều hành nên các máy chủ chạy Windows, Linux hay macOS đều có nguy cơ bị tấn công như nhau.

Các phần mềm phổ biến sử dụng Log4j làm gói ghi nhật ký có thể kể tới như Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red hat, Steam, Tesla, Twitter và các trò chơi như Minecraft.

Jen Easterly, Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của chính phủ liên bang Mỹ gọi lỗ hổng này là “rủi ro nghiêm trọng” và là “thách thức cấp bách đối với an ninh mạng”.

“Hàng triệu máy chủ có thể chứa lỗ hổng Log4Shell. Thiệt hại có thể được phơi bày trong vài ngày tới”, Joe Sullivan, Giám đốc an ninh của Cloudflare cho biết. Trong khi đó, tổ chức phần mềm Apache đánh giá lỗ hổng này đạt 10/10 ở mức độ nghiêm trọng.

 

Log4Shell: Cuộc tấn công “đơn giản đến khó tin”

Các chuyên gia bảo mật khuyến cáo, tin tặc có thể khai thác lỗ hổng để truy cập máy chủ mà không cần mật khẩu, từ đó xâm nhập mạng nội bộ, đánh cắp dữ liệu hay tài sản có giá trị hoặc cài đặt những phần mềm độc hại khác.

Việc khai thác có thể đạt được thông qua một chuỗi văn bản được soạn thảo đầy đủ, một yêu cầu đăng nhập, chuỗi tiêu đề hay bất kỳ dữ liệu nào được máy chủ mục tiêu ghi lại. Văn bản này sẽ đánh lừa máy chủ, thậm chí có thể gửi yêu cầu đến máy chủ khác do tin tặc kiểm soát để cài đặt thêm phần mềm và tiến hành các lệnh tấn công khác.

Theo LunaSec, chỉ cần thay đổi tên iPhone là đủ để kích hoạt lỗ hổng bảo mật trong máy chủ Apple. Còn đối với trò chơi phổ biến Minecraft của Microsoft, tin tặc chỉ cần một đoạn nhắn tin trong hộp hội thoại để xâm nhập hệ thống.

 

Do chủ yếu nhắm vào máy chủ nên người dùng cuối (end-user) sẽ không thể can thiệp nếu có sự cố xảy ra. Các chuyên gia bảo mật cũng khuyến nghị người dùng trên PC và macOS nên vô hiệu hoá Java cách đây vài năm. Tuy nhiên, người dùng cá nhân có thể đối mặt rủi ro bị đánh cắp thông tin cá nhân, tài khoản trực tuyến, thẻ tín dụng hoặc các trang web thường xuyên truy cập gửi phần mềm gián điệp độc hại.

Nhằm chủ động đối phó với các rủi ro nêu trên, người dùng cần chú ý cập nhật các bản vá lỗi do nhà sản xuất đưa ra, sử dụng các trình quản lý mật khẩu, theo dõi thông tin tài khoản thẻ tín dụng và sử dụng phần mềm diệt virus phiên bản mới nhất.

Xem thêm tại link dưới đây

 

2. Lỗ hổng Log4Shell sẽ được vá trước Giáng sinh

 

Theo yêu cầu của CISA, các cơ quan liên bang có 10 ngày để rà soát các ứng dụng và máy chủ nội bộ đang sử dụng thư viện Log4j Java, kiểm tra việc các hệ thống có bị khai thác Log4Shell hay không và tiến hành vá lỗi các máy chủ bị ảnh hưởng. Mọi công đoạn sẽ phải hoàn thành vào ngày 24/12. Ngoài ra, CISA cũng ra mắt trang web hướng dẫn các cơ quan công quyền và khối tư nhân liên quan lỗ hổng bảo mật này.

CISA có kế hoạch lên danh sách tất cả các nhà cung cấp phần mềm có sản phẩm dễ bị tấn công bởi lỗ hổng Log4Shell lên trang web, đồng thời là trung tâm để các công ty nhận các thông tin về bản vá. Các bản vá lỗi cho thư viện Log4j đã có từ tuần trước, nhưng các nhà cung cấp phần mềm cũng cần thời gian để kết hợp các bản vá này vào sản phẩm của riêng họ. Nhà nghiên cứu an ninh Royce Williams đã lên danh sách hơn 300 nhà cung cấp phần mềm bị ảnh hưởng bởi lỗ hổng Log4Shell.

Lỗ hổng Log4Shell được phát hiện từ hôm 9/12, là lỗi trong Log4j, một thư viện Java cung cấp khả năng tạo và quản lý nhật ký cho các ứng dụng máy tính để bàn và phần mềm máy chủ Java. Mặc dù là lỗ hổng bảo mật mới, Log4Shell được coi là một trong những lỗ hổng bảo mật nghiêm trọng nhất từng được phát hiện, chủ yếu do nó được sử dụng phổ biến tại các nhà sản xuất phần mềm doanh nghiệp, có khả năng bị khai thác dễ dàng cũng như khả năng chiếm quyền điều khiển hệ thống từ xa.

Vài ngày sau khi được tiết lộ, lỗ hổng bảo mật này đã bị khai thác hàng loạt, xuất hiện trên nhiều phần mềm mã độc khác nhau, chủ yếu được sử dụng bởi các nhóm gián điệp mạng và phần mềm tống tiền. Cisco và Cloudflare cho biết họ đã thấy các dấu hiệu lỗ hổng Log4Shell bị khai thác 2 tuần trước khi thông tin được công bố, có nghĩa là các nhóm bảo mật cần mở rộng cuộc điều tra phản ứng sự cố, các dấu hiệu có thể bị khai thác đối với mạng lưới của họ từ đầu tháng tới nay chứ không chỉ bắt đầu từ tuần trước. Cụ thể, các cuộc tấn công đầu tiên được ghi nhận từ ngày 1/12.

Apache hiện đã phát hành phiên bản Log4j 2.16.0 để khắc phục lỗ hổng có mức độ nghiêm trọng CVE-2021-44228. Bạn có thể giảm thiểu khả năng bị tấn công nếu đặt thuộc tính hệ thống “log4j2.formatMsgNoLookups” là “true” hoặc xóa lớp JndiLookup khỏi classpath. Phương thức giảm thiệt hại này chỉ có tác dụng với phiên bản Log4j 2.10 trở lên. Các nhà nghiên cứu bảo mật thuộc công ty an ninh mạng Cybereason cũng đã phát hành một gói “vắc xin” có tên Logout4Shell giúp giảm thiểu thiệt hại trên các máy chủ đang sử dụng phiên bản Log4j bị ảnh hưởng bởi Log4Shell.

Nếu có bất kỳ thông tin mới nào về lỗ hổng zero-day Log4Shell này, mình sẽ sẽ update tại https://kb.pavietnam.vn. Và để yên tâm lựa chọn nhà cung cấp hosting tại Việt Nam luôn cập nhật những công nghệ mới và xử lý các lỗ hổng bảo mật cũng như cập nhật các bản vá lỗi , các bạn tham khảo dịch vụ tại P.A Việt Nam . P.A Việt Nam tiên phong trong thị trường Internet & Web với 20 năm kinh nghiệm chuyên nghiệp trong lĩnh vực Tên miền, Lưu trữ Website. Email, Máy Chủ, Thiết kế Web.

HƠN 20 NĂM KINH NGHIỆM

P.A Việt Nam tiên phong trong thị trường Internet & Web.
Là nhà đăng ký tên miền lớn nhất Việt Nam.
Chuyên nghiệp trong lĩnh vực Tên miền, Lưu trữ Website.
Email, Máy Chủ, Thiết kế Web.

Thông tin kiến thức cơ bản Web30s tại: https://kb.pavietnam.vn/category/web30s
Thông tin kiến thức cơ bản Hosting tại: https://kb.pavietnam.vn/category/hosting
Đăng ký dịch vụ do P.A Việt Nam cung cấp tại: https://www.pavietnam.vn/
Tham khảo thông tin & bảng giá dịch vụ Web30s tại: https://web30s.vn/
Tham khảo thông tin & bảng giá dịch vụ Hosting tại: https://www.pavietnam.vn/vn/hosting.html
Tham khảo các Ưu đãi hiện có tại: https://www.pavietnam.vn/vn/tin-khuyen-mai/
Facebook: https://www.facebook.com/pavietnam.com.vn