Hầu hết các nhà bảo mật hiện đều biết về lỗ hổng Log4Shell được phát hiện vào cuối năm 2021. Không ai biết lỗ hổng này tồn tại bao lâu trước khi được phát hiện. Vài tháng qua, các nhóm bảo mật đã tranh giành nhau để vá lỗ hổng Log4Shell được tìm thấy trong Apache Log4j, một thư viện Java được sử dụng rộng rãi để ghi lại các thông báo lỗi trong các ứng dụng. Ngoài việc vá lỗi, nó rất hữu ích và mang tính hướng dẫn cho các nhà bảo mật hiểu sâu hơn về lỗ hổng nghiêm trọng gần đây nhất này.
May mắn thay, Nhà nghiên cứu bảo mật cấp cao của Cynet Igor Lahav đang tổ chức hội thảo trên web [Register here] để cung cấp thông tin chi tiết về “buzzword miễn phí” vào Log4Shell. Dựa trên bản xem trước hội thảo trên web do Cynet cung cấp, cuộc thảo luận sẽ đề cập đến các lỗi phần mềm trong Apache Log4j cho phép lỗ hổng nghiêm trọng, các cách khai thác được sử dụng để tận dụng các lỗ hổng và các tùy chọn khắc phục có sẵn để bảo vệ tổ chức của bạn. Hội thảo trên web này sẽ giúp hiểu được đôi khi phân tích kỹ thuật quá mức của Log4Shell mà chúng tôi đã phải tuân theo trong vài tháng qua.
– Log4j là gì?
Trước khi bạn thực sự có thể nắm bắt được mức độ của lỗ hổng Log4Shell, bạn cần phải hiểu công nghệ cơ bản. Hội thảo trên web Cynet sẽ giới thiệu cho các bạn về thư viện Log4j là gì và nó được sử dụng như thế nào trong Java. Nó cũng giải thích một tính năng được sử dụng bởi hệ thống ghi nhật ký được gọi là Giao diện thư mục đặt tên Java (JDNI) và cách nó được log4j sử dụng để giúp hiểu lỗ hổng bảo mật.
– Các lỗ hổng
Nguyên nhân sâu xa của lỗ hổng này là do cách Log4j xử lý thông báo nhật ký và hội thảo trên web đã chỉ ra rõ ràng các lỗi phần mềm khiến cơ chế ghi nhật ký Log4j dễ bị tấn công. Điều này bao gồm mô tả về cách JNDI tiêm hoạt động và tại sao nó có thể dẫn đến sự cố cũng như cấu hình Log4j từ xa là gì và cách kẻ tấn công có thể tận dụng nó để giành quyền truy cập.
– Khai thác
Chính xác thì làm thế nào để những kẻ tấn công lợi dụng các lỗ hổng Log4j? Cynet chia sẻ các cuộc tấn công từng bước mà họ đã thấy trong tự nhiên, điều này cho thấy trình độ chuyên môn cao của kẻ tấn công. Họ chứng minh cách những kẻ tấn công bỏ qua các phát hiện tĩnh, cách chúng đạt được thực thi mã từ xa bằng cách bỏ qua hai chức năng kiểm tra phổ biến (allowLdapClasses và allowLdapHosts).
– Giảm nhẹ
Cuối cùng, Cynet thực hiện các bước thông qua các hành động giảm thiểu mà công ty nên thực hiện, bao gồm định vị các ứng dụng dễ bị tấn công, các tùy chọn vá lỗi, các thay đổi cấu hình quan trọng và vá các ứng dụng của bên thứ ba. Bạn cũng sẽ tìm hiểu về các phát hiện khai thác Cynet Log4Shell trong Windows và Linux.
Kết thúc
Cynet cũng sẽ chia sẻ những khám phá từ một số cuộc điều tra phản ứng sự cố gần đây, chẳng hạn như khai thác tích cực lỗ hổng Log4Shell trên Máy chủ VMware Horizon bởi các tác nhân đe dọa khác nhau, những người đã triển khai báo hiệu Cobalt Strike, Cryptominers và trình bao ngược không lọc. Mặc dù bạn có thể đã đọc các báo cáo khác hoặc tham dự các hội thảo trên web khác về Log4Shell, nhưng hội thảo này tập hợp tất cả lại với nhau và thực hiện các bước xử lý lỗ hổng, cách khai thác, các biện pháp khắc phục được đề xuất và các sự cố mới nhất một cách đơn giản và rõ ràng.
Đăng ký hội thảo trên web tại đây.
.
