Các đội bảo mật trên toàn cầu đang căng não để giải quyết một lỗ hổng zero-day mới nguy hiểm trong hệ thống ghi nhật ký Apache phổ biến hiện đang được khai thác phổ biến.
Được đặt tên là “Log4Shell”, lỗi được tìm thấy trong sản phẩm ghi nhật ký dựa trên Java Log4j và có thể dẫn đến việc thực thi mã lệnh đơn giản từ xa, cho phép những kẻ tấn công triển khai phần mềm độc hại trên một máy chủ mục tiêu.
Việc khai thác nguy hiểm vì hai lý do: Log4j được sử dụng bởi các ứng dụng và nền tảng được tìm thấy trên internet, bao gồm Minecraft, Apple iCloud, Tesla, Cloudflare và Elasticsearch. Thứ hai, nó tương đối dễ khai thác, bằng cách buộc một ứng dụng dễ bị tấn công phải ghi lại một chuỗi ký tự cụ thể.
Điều đó có thể được thực hiện theo nhiều cách khác nhau khi ứng dụng ghi lại nhiều loại sự kiện khác nhau. Theo một nhà nghiên cứu, máy chủ Minecraft được khai thác đơn giản bằng cách gõ một tin nhắn ngắn vào hộp trò chuyện.
Sophos đã đăng một bản viết chi tiết về lỗ hổng này: CVE-2021-44228.
Tác động của khám phá này có thể chi phối công việc của các chuyên gia an ninh mạng trong những tuần tới.
Theo nhà nghiên cứu mối đe dọa cấp cao của Sophos, Sean Gallagher, Log4Shell đã được khai thác để cài đặt các máy đào tiền, làm lộ khóa AWS và cài đặt các công cụ truy cập từ xa bao gồm Cobalt Strike trong môi trường nạn nhân.
“Log4Shell là một thư viện được nhiều sản phẩm sử dụng. Do đó, nó có thể hiện diện ở những góc tối nhất trong cơ sở hạ tầng của tổ chức, chẳng hạn như bất kỳ phần mềm nào được phát triển nội bộ. Việc tìm kiếm tất cả các hệ thống dễ bị tấn công vì Log4Shell nên được ưu tiên cho bảo mật CNTT” ông nói thêm.
“Sophos hy vọng tốc độ mà những kẻ tấn công đang khai thác và sử dụng lỗ hổng sẽ chỉ tăng cường và đa dạng hóa trong những ngày và tuần tới. Khi kẻ tấn công có quyền truy cập an toàn vào mạng, thì bất kỳ sự lây nhiễm nào cũng có thể xảy ra. Do đó, cùng với bản cập nhật phần mềm đã được Apache phát hành trong Log4j 2.15.0, các nhóm bảo mật CNTT cần phải xem xét kỹ lưỡng hoạt động trên mạng để phát hiện và xóa bất kỳ dấu vết nào của những kẻ xâm nhập”
Check Point tuyên bố đã chặn 400.000 các cuộc tấn công cho khách hàng từ cuối thứ Sáu đến Chủ nhật.
Người sáng lập Bugcrowd, Casey Ellis, đã mô tả vụ việc là “tình huống xấu nhất đã xảy ra”.
“Sự kết hợp giữa việc sử dụng phổ biến của Log4j trong phần mềm và nền tảng, rất nhiều con đường có sẵn để khai thác lỗ hổng, các yếu tố phụ thuộc sẽ khiến việc vá lỗ hổng này mà không phá vỡ hệ thống trở nên khó khăn. Đây sẽ là một ngày cuối tuần dài đối với rất nhiều người, ”anh nói thêm.
Nguồn: infosecurity-magazine.com
