Các vấn đề với Log4j tiếp tục chồng chất khi Apache Software Foundation (ASF) vào thứ Sáu đã tung ra một bản vá khác – phiên bản 2.17.0 – cho thư viện ghi nhật ký được sử dụng rộng rãi có thể bị khai thác bởi các tác nhân độc hại để tạo ra một giai đoạn từ chối dịch vụ (Tấn công vào hệ điều hành Dos.
Theo dõi là CVE-2021-45105 (Điểm CVSS: 7,5), lỗ hổng bảo mật mới ảnh hưởng đến tất cả các phiên bản của công cụ từ 2.0-beta9 đến 2.16.0, mà tổ chức phi lợi nhuận nguồn mở đã xuất xưởng vào đầu tuần này để khắc phục lỗ hổng thứ hai có thể dẫn đến thực thi mã từ xa (CVE- 2021-45046), đến lượt nó, bắt nguồn từ bản sửa lỗi “không hoàn chỉnh” cho CVE-2021-44228, hay còn được gọi là lỗ hổng Log4Shell.
“Apache Log4j2 phiên bản 2.0-alpha1 đến 2.16.0 không bảo vệ khỏi đệ quy không kiểm soát khỏi các tra cứu tự tham chiếu”, ASF giải thích trong một tư vấn sửa đổi. “Khi cấu hình ghi nhật ký sử dụng Bố cục mẫu không mặc định với Tra cứu ngữ cảnh (ví dụ: $$ {ctx: loginId}), những kẻ tấn công có quyền kiểm soát dữ liệu đầu vào Bản đồ ngữ cảnh luồng (MDC) có thể tạo ra dữ liệu đầu vào độc hại có chứa đệ quy tra cứu, dẫn đến lỗi StackOverflowError sẽ kết thúc quá trình. “
Hideki Okamoto của Akamai Technologies và một nhà nghiên cứu lỗ hổng ẩn danh đã được ghi nhận là người đã báo cáo lỗ hổng. Tuy nhiên, phiên bản Log4j 1.x không bị ảnh hưởng bởi CVE-2021-45105.
Cần chỉ ra rằng điểm số mức độ nghiêm trọng của CVE-2021-45046, ban đầu được phân loại là lỗi DoS, sau đó đã được sửa đổi từ 3,7 thành 9,0, để phản ánh thực tế là kẻ tấn công có thể lạm dụng lỗ hổng để gửi một chuỗi được chế tạo đặc biệt dẫn để “rò rỉ thông tin và thực thi mã từ xa trong một số môi trường và thực thi mã cục bộ trong mọi môi trường”, chứng thực một báo cáo trước đây của các nhà nghiên cứu bảo mật tại Praetorian.
Những người bảo trì dự án cũng lưu ý rằng phiên bản Log4j 1.x đã hết tuổi thọ và không còn được hỗ trợ nữa và các lỗi bảo mật được phát hiện trong tiện ích sau tháng 8 năm 2015 sẽ không được sửa, khuyến cáo người dùng nâng cấp lên Log4j 2 để nhận các bản sửa lỗi mới nhất .
Sự phát triển này diễn ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) ban hành chỉ thị khẩn cấp yêu cầu các bộ và cơ quan dân sự liên bang ngay lập tức vá các hệ thống internet của họ đối với các lỗ hổng Apache Log4j trước ngày 23 tháng 12 năm 2021, với lý do rằng các điểm yếu gây ra ” rủi ro không thể chấp nhận được. “
Sự phát triển cũng diễn ra khi lỗ hổng Log4j đã nổi lên như một vectơ tấn công béo bở và là tâm điểm để khai thác bởi nhiều tác nhân đe dọa, bao gồm cả các tin tặc được quốc gia hậu thuẫn từ Trung Quốc, Iran, Triều Tiên và Thổ Nhĩ Kỳ cũng như ransomware Conti băng đảng, để thực hiện một loạt các hoạt động độc hại tiếp theo. Điều này đánh dấu lần đầu tiên lỗ hổng này nằm trong tầm ngắm của một băng nhóm phần mềm tội phạm tinh vi.
Các nhà nghiên cứu của AdvIntel cho biết: “Việc khai thác hiện tại dẫn đến nhiều trường hợp sử dụng mà qua đó nhóm Conti đã kiểm tra khả năng sử dụng khai thác Log4j 2. “bọn tội phạm đã theo đuổi nhắm mục tiêu vào Log4j 2 VMware vCenter có lỗ hổng cụ thể [servers] đối với chuyển động ngang trực tiếp từ mạng bị xâm nhập dẫn đến quyền truy cập vCenter ảnh hưởng đến mạng nạn nhân của Hoa Kỳ và Châu Âu từ các phiên Cobalt Strike tồn tại trước đó. “
Trong số những người khác để tận dụng lỗi này là các công cụ khai thác tiền điện tử, botnet, trojan truy cập từ xa, các nhà môi giới truy cập ban đầu và một chủng ransomware mới có tên là Khonsari. Công ty bảo mật Check Point của Israel cho biết họ đã ghi nhận hơn 3,7 triệu nỗ lực khai thác cho đến nay, với 46% trong số đó là do các nhóm độc hại đã biết thực hiện.
.
