Theo securitybox.vn – Một lỗ hổng đặc biệt nghiêm trọng trong thư viện nhật ký Apache Log4j đang bị tin tặc ráo riết khai thác. Với sự phổ biến của Apache Log4j, ước tính có khoảng vài triệu ứng dụng sẽ bị ảnh hưởng. Trong đó, có cả những ông lớn trong ngành công nghệ như Apple, CloudFlare, Cisco, hay Microsoft…
1. Chi tiết về lỗ hổng Log4Shell
Ngày 09/12/2021, Chen Zhaojun, thuộc Alibaba Cloud Security Team đã tiết lộ lỗ hổng nghiêm trọng trong thư viện Log4j. Lỗ hổng này được đặt tên là Log4Shell (hay còn gọi là LogJam) và được theo dõi dưới mã định danh CVE-2021-44228. Thông qua Log4Shell, tin tặc có thể thực thi mã từ xa và chiếm toàn bộ quyền kiểm soát hệ thống có cài đặt Log4j từ phiên bản 2.0-beta9 đến phiên bản 2.14.1.
Log4j là thư viện để ghi log (logging) thuộc sở hữu của Apache. Nó được sử dụng phổ biến trong các ứng dụng doanh nghiệp và điện toán đám mây. Các doanh nghiệp lớn đang sử dụng thư viện này có thể kể đến Apple, Cloudflare, Twitter, Tesla, Amazon, Steam…
Nhóm bảo mật của Alibaba Cloud cũng tiết lộ rằng, Log4Shell có ảnh hưởng đến các cấu hình mặc định của nhiều framework Apache bao gồm Apache Strust2, Apache Solr, Apache Druid, Apaceh Flink…
2. Tin tặc đang ráo riết khai thác
Sau khi phương thức khai thác đầu tiên của Log4Shell được chia sẻ trên Internet vào ngày 09/12, tin tặc đã tích cực tìm kiếm các hệ thống dễ bị tấn công. Chúng nhắm mục tiêu vào những hệ thống có chứa lỗ hổng nhưng bảo mật còn lỏng lẻo, không yêu cầu xác thực và có thể khai thác từ xa.
Hiện nay, framework Apache Log4j đang có mặt trong vài triệu ứng dụng mã nguồn mở trên toàn cầu. Đó là mảnh đất màu mỡ cho tin tặc khai thác để kiếm về những khoản lợi nhuận khổng lồ. Vì vậy, các hệ thống đang sử dụng Apache Log4j cần cảnh giác cao độ. Bởi trong giai đoạn nhạy cảm này, bất cứ lúc nào bạn cũng có thể trở thành nạn nhân.
3. Cách thức ngăn chặn tấn công và khắc phục lỗ hổng Log4Shell
Hiện tại, Apache đã phát hành phiên bản Log4j 2.15.0 để khắc phục lỗ hổng Log4Shell. Doanh nghiệp của bạn hãy cập nhật phiên bản mới nhất này để phòng tránh rủi ro bị tấn công.
Trong trường hợp chưa thể nâng cấp lên phiên bản 2.15.0 thì bạn có thể khắc phục lỗ hổng này bằng cách đặt thuộc tính “formatMsgNoLookups = true” (áp dụng từ phiên bản 2.10.0 trở lên).
Nếu bạn đang sử dụng phiên bản cũ hơn 2.10.0 thì có thể giảm thiểu rủi ro bằng cách:
- Sửa đổi logging pattern layout để % m {nolookups} thay vì % m trong tệp cấu hình ghi nhật ký. Xem chi tiết tại: https://issues.apache.org/jira/browse/LOG4J2-2109
- Thay thế class org.apache.logging.log4j.core.lookup.JndiLookup bằng class trống hoặc class cũ không có lỗi, theo cách mà trình classloader nạp lớp của bạn sử dụng thay thế của bạn thay vì phiên bản dễ bị tấn công của class.
Ngoài ra, để kiểm tra ứng dụng của doanh nghiệp bạn có bị ảnh hưởng bởi lỗ hổng Log4Shell không, hãy sử dụng thiết bị SecurityBox 4Network. Bằng cách tích hợp lỗ hổng Log4Shell vào cơ sở dữ liệu lỗ hổng của mình, thiết bị SecurityBox 4Network có thể giúp doanh nghiệp phát hiện ra nếu nó tồn tại trên ứng dụng và máy chủ đang sử dụng. Nhờ đó, doanh nghiệp có thể kịp thời xử lý và ngăn chặn rủi ro triệt để.
Nếu doanh nghiệp cần bảo vệ hệ thống của mình khỏi lỗ hổng Log4Shell, hãy liên hệ với SecurityBox để được hỗ trợ.