Bốn tháng sau khi lỗ hổng nghiêm trọng được phát hiện, các nhà nghiên cứu nhận thấy những kẻ tấn công có một nền tảng rộng lớn mà từ đó chúng có thể khai thác lỗ hổng và chiếm quyền kiểm soát hệ thống.
Bốn tháng sau khi phát hiện ra lỗ hổng nghiêm trọng Log4Shell zero-day, các nhà nghiên cứu đã phát hiện ra hàng triệu ứng dụng Java vẫn dễ bị xâm phạm.
Các nhà nghiên cứu tại công ty bảo mật Rezilion đã phân tích nền tảng tấn công tiềm ẩn hiện tại cho lỗ hổng trong khung chương trình của mã nguồn mở phổ biến Apache Log4j đe dọa thay đổi internet khi được phát hiện vào tháng 12. Lỗ hổng trong thư viện nhật ký Java phổ biến Apache Log4j có thể dễ dàng khai thác và có thể cho phép thực thi mã từ xa chưa được xác thực (RCE) và tiếp quản hoàn toàn máy chủ.
Trưởng bộ phận nghiên cứu lỗ hổng bảo mật Yotam Perkal của Rezilion đã viết trong một báo cáo được công bố hôm thứ Ba nhận định rằng nhận được lỗi do “độ phủ sỏng truyền thông lớn” một cách đáng ngạc nhiên, phần lớn các ứng dụng liên quan sẽ được vá. Tuy nhiên, phân tích của họ đã tìm ra một câu chuyện rất khác, ông nói.
Perkal viết trong báo cáo: “Chúng tôi biết được rằng viễn cảnh còn xa chủng tôi tưởng tượng và nhiều ứng dụng dễ bị tấn công bởi Log4Shell vẫn còn tồn tại,”
Bằng chứng bổ trợ
Perkal viết rằng các nhà nghiên cứu đã thực hiện một cuộc tìm kiếm trên công cụ tìm kiếm Shodan để xem có bao nhiêu ứng dụng dễ bị tấn công bởi Log4Shell được đưa lên internet. Họ đã xác định 90.000 ứng dụng có khả năng dễ bị tấn công trên internet, mà họ tin rằng “chỉ là phần nổi của tảng băng chìm xét về nền tảng dễ bị tấn công thực tế”.
Các nhà nghiên cứu đã chia các ứng dụng thành ba loại; hai loại đầu tiên là các vùng chứa trong phiên bản mới nhất vẫn chứa các phiên bản Log4j đã lỗi thời; và các vùng chứa mặc dù chúng đã cập nhật phiên bản mới nhất nhưng vẫn cho thấy bằng chứng về việc sử dụng các phiên bản trước đó.
Các nhà nghiên cứu lưu ý rằng loại thứ ba đang công khai hướng về các máy chủ của một trong những trò chơi internet được yêu thích nhất trên thế giới – Minecraft, có thể thấy rõ những rủi ro với phần mềm độc quyền lỗi thời.
Các nhà nghiên cứu đã trích dẫn các nguồn khác để có thêm bằng chứng rằng độ phủ song tấn công của Log4Shell vẫn rất rộng. Một là dịch vụ Google Open Source Insights, quét hàng triệu gói mã nguồn mở. Dịch vụ phát hiện ra rằng trong tổng số 17.840 gói bị ảnh hưởng bởi lỗ hổng này, chỉ có 7.140 gói được vá, khiến gần 60% vẫn còn lỗ hổng.
Hơn nữa, nhiều ứng dụng vẫn đang sử dụng Log4J phiên bản 1.x và có khả năng không được vá vì lỗ hổng Log4Shell ban đầu, được theo dõi là CVE-201-44228, không áp dụng cho phiên bản này, các nhà nghiên cứu lưu ý.
Tuy nhiên, đây là một quan niệm sai lầm vì phiên bản đó đã “ở trạng thái hết hạn sử dụng kể từ tháng 8 năm 2015 (có nghĩa là nó không nhận được bất kỳ bản cập nhật bảo mật nào) và chứa nhiều lỗ hổng khác, bao gồm cả lỗ hổng RCE, Perkal lưu ý.
Ông viết: “Điều này chắc chắn sẽ khiến các tổ chức vẫn đang sử dụng cảm thấy lo lắng.”
Đang tích cực khai thác
Các nhà nghiên cứu lưu ý rằng việc đáng lo ngại nhất về nền tảng dễ bị tấn công có lẽ là Log4Shell – vẫn là mục tiêu hàng đầu của các kẻ tấn công. Thật vậy, những kẻ tấn công ngay lập tức phát hiện ra lỗi sau khi nó được phát hiện – đang được khai thác tích cực – và kể từ đó đã không để xảy ra nhiều lỗi.
Mặc dù Apache đã phát hành một bản vá cho Log4Shell trong vòng một ngày kể từ khi phát hiện ra, nó cũng gặp phải các vấn đề có thể dẫn đến các cuộc tấn công DoS — và dường như vẫn chưa được áp dụng trong nhiều trường hợp.
Những nỗ lực ban đầu để khai thác lỗi trong tự nhiên là nhằm vào việc triển khai ransomware và các công cụ khai thác tiền; tuy nhiên, khi các nhóm APT tham gia vào cuộc chiến và bắt đầu khắc phục lỗ hổng một cách nghiêm túc, các nhà nghiên cứu cho biết.
Perkal cho biết là gần đây nhất, động thái khai thác Log4Shell đã được liên kết với nhóm APT 41 của Trung Quốc và Deep Panda. Trước đó, nhóm gián điệp HAFNIUM do nhà nước Trung Quốc bảo trợ và các nhóm APT35 (hay còn gọi là Newscaster) và Tunnel Vision do Iran hậu thuẫn cũng đã nhắm vào lỗ hổng này.
Các nhà nghiên cứu lưu ý rằng hiện tại vẫn có hàng chục nỗ lực khai thác hàng ngày được ghi lại của Log4Shell, theo một honeypot do Trung tâm Bão Internet SANS thiết lập.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://threatpost.com/java-apps-vulnerable-log4shell/179397/
