Log4Shell - Lỗ hổng 'nguy hiểm nhất thập kỷ' được phát hiện

Theo AP, Log4Shell được tìm thấy trong file log4j, tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng thường dùng để truy vết lỗi. Đến nay, hầu hết các hệ thống bảo mật đều có một file nhật ký như vậy. Log4j nằm trong phần mềm mã nguồn mở do Apache phát hành.

Theo công ty an ninh mạng Check Point, các cuộc tấn công lợi dụng Log4Shell đã tăng đột biến trong tuần này. Chỉ trong một tuần, hacker đã thực hiện hơn 1,2 triệu cuộc tấn công thông qua lỗ hổng mà các chuyên gia tin là "sẽ ám ảnh Internet nhiều năm". Ở giai đoạn cao điểm, các chuyên gia ghi nhận trung bình hơn 100 đợt tấn công được thực hiện mỗi phút. Tổ chức phần mềm Apache đánh giá lỗ hổng này đạt 10/10 ở mức độ nghiêm trọng.

Các phần mềm phổ biến sử dụng Log4j làm gói ghi nhật ký có thể kể tới như Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red hat, Steam, Tesla, Twitter và các trò chơi như Minecraft.Jen Easterly, Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của chính phủ liên bang Mỹ gọi lỗ hổng này là "rủi ro nghiêm trọng" và là "thách thức cấp bách đối với an ninh mạng". "Hàng triệu máy chủ có thể chứa lỗ hổng Log4Shell. Thiệt hại có thể được phơi bày trong vài ngày tới", Joe Sullivan, Giám đốc an ninh của Cloudflare cho biết.

Các công ty bảo mật Internet Cloudflare và Cisco Talos đã kiểm tra nhật ký của mình và tìm thấy bằng chứng về dấu hiệu của cuộc tấn công có thể xảy ra từ ngày 1/12. Sau khi phương thức khai thác đầu tiên của Log4Shell được chia sẻ trên Internet vào ngày 09/12, hacker đã tích cực quét internet để tìm các hệ thống dễ bị tấn công. Chúng nhắm vào những hệ thống có chứa lỗ hổng nhưng không được bảo vệ chặt chẽ, không yêu cầu xác thực và có thể khai thác từ xa. "Với lỗ hổng này, hacker có sức mạnh gần như không giới hạn. Tin tặc có thể trích xuất dữ liệu nhạy cảm, tải tệp độc hại lên máy chủ, xóa dữ liệu, cài đặt ransomware và nhiều cách thức nguy hiểm khác", Nicholas Sciberras, trưởng bộ phận kỹ thuật hãng bảo mật Acunetix, nói. Chuyên gia này nhấn mạnh việc triển khai cuộc tấn công qua Log4Shell "dễ một cách đáng kinh ngạc" và dự đoán nó sẽ tiếp tục bị lợi dụng trong thời gian tới.  .Check Point cho biết, trong nhiều trường hợp, hacker chiếm được quyền kiểm soát máy tính của nạn nhân để khai thác tiền điện tử hoặc lợi dụng làm botnet - mạng lưới máy tính "ma" dùng để tấn công các website, gửi thư rác hoặc cho các mục đích bất hợp pháp khác.

Log4Shell: Cuộc tấn công “đơn giản đến khó tin”

Đầu tiên, kẻ tấn công chỉ cần gửi cho máy chủ web một chuỗi văn bản nhỏ được soạn thảo cẩn thận. Văn bản có thể là một bài đăng trên diễn đàn, một yêu cầu đăng nhập, một chuỗi tiêu đề trong một trang web hoặc bất kỳ loại dữ liệu nào khác có thể được máy chủ "logged" – đăng nhập cùng với hàng trăm nghìn tài khoản đăng ký hàng ngày.

Văn bản của kẻ tấn công sẽ đánh lừa máy chủ và ăn cắp thông tin bí mật hoặc thậm chí gửi yêu cầu tệp đến máy chủ khác - chẳng hạn như máy chủ mà kẻ tấn công kiểm soát. Đáp lại, máy chủ của kẻ tấn công có thể gửi lệnh tải xuống và thực thi phần mềm độc hại đến máy chủ được nhắm mục tiêu. Thậm chí, chúng còn đặt mã khai thác vào iPhone của mình và yêu cầu máy chủ của Apple phản hồi. Jen Easterly, Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của chính phủ liên bang Mỹ gọi lỗ hổng này là "rủi ro nghiêm trọng" và là "thách thức cấp bách đối với những người bảo vệ mạng".

Làm gì để bảo vệ mình khỏi Log4Shell?

Là người dùng cuối – end user, bạn không thể khắc phục nếu máy chủ gặp vấn đề. (Các chuyên gia bảo mật đã khuyến nghị người dùng PC và Mac nên vô hiệu hóa Java từ nhiều năm trước). Tuy nhiên, vì các tội phạm trực tuyến sẽ khai thác lỗ hổng này theo bất kỳ cách nào nên hãy cần chuẩn bị tinh thần cho tình huống xấu nhất. Khả năng tệ nhất là người dùng sẽ bị đánh cắp danh tính, các tài khoản trực tuyến, số thẻ tín dụng,...hoặc các trang web thường xuyên truy cập sẽ gửi các phần mềm độc hại cho bạn. Nhằm chủ động đối phó với các rủi ro nêu trên, người dùng cần chú ý cập nhật các bản vá lỗi do nhà sản xuất đưa ra, sử dụng các trình quản lý mật khẩu, theo dõi thông tin tài khoản thẻ tín dụng và sử dụng phần mềm diệt virus phiên bản mới nhất. Để khắc phục tối đa rủi ro, người dùng nên làm theo các bước sau:

● Đăng ký và sử dụng trình quản lý mật khẩu. Sử dụng trình quản lý mật khẩu sẽ giúp đảm bảo tất cả mật khẩu đều mạnh và không trùng lặp.

● Đóng băng tín dụng miễn phí. Việc này sẽ giúp hạn chế thiệt hại do hành vi trộm cắp danh tính có thể xảy ra. Ngoài ra, người dùng có thể xem xét một trong những dịch vụ bảo vệ chống trộm danh tính tốt nhất.

● Theo dõi tài khoản thẻ tín dụng trong vài tuần tới. Nếu thấy bất thường, hãy báo ngay cho ngân hàng phát hành thẻ.

● Theo dõi báo cáo tín dụng trong vài tháng tới.

● Cài đặt một số phần mềm chống vi-rút tốt nhất. Windows 10 và 11 đã được tích hợp sẵn Microsoft Defender Antivirus và chúng rất tốt. Tuy nhiên, chúng không bảo vệ bạn khỏi các mối đe dọa thông qua các trình duyệt không phải của Microsoft như Google Chrome hoặc Mozilla Firefox. Microsoft Defender cũng không giúp được nhiều cho Android, Mac hoặc iOS.

Bản vá và phương pháp giảm thiệt hại

Ước tính, có hàng trăm nghìn, thậm chí hàng triệu máy chủ web bị ảnh hưởng. Theo báo cáo của Microsoft và chính phủ Thụy Sĩ, tội phạm đã sử dụng lỗ hổng này để cài đặt phần mềm độc hại đào coin, botnet và backdoor trên các máy chủ. Sắp tới, sẽ có nhiều vụ vi phạm dữ liệu, tấn công ransomware, trộm cắp thẻ tín dụng do lỗ hổng này. Nói cách khác, bất kỳ thứ gì được lưu trữ trên máy chủ web sẽ đều có nguy cơ gặp rủi ro.

Apache hiện đã phát hành phiên bản Log4j 2.15.0 để khắc phục lỗ hổng có mức độ nghiêm trọng CVE-2021-44228. Lỗ hổng cũng có thể bị giảm khả năng phá hoại nếu bạn đặt thuộc tính hệ thống "log4j2.formatMsgNoLookups" là "true" hoặc xóa lớp JndiLookup khỏi classpath. Phương thức giảm thiệt hại này chỉ có tác dụng với phiên bản Log4j 2.10 trở lên.

Các nhà nghiên cứu từ công ty an ninh mạng Cybereason cũng đã phát hành một gói "vắc xin" có tên Logout4Shell với khả năng cài đặt lên một máy chủ Log4j dễ bị tấn công từ xa để giảm thiệt hại của lỗ hổng.

Hàng loạt công ty công nghệ lớn như Amazon Web Services, Microsoft, Cisco, Google và IBM đều phát hiện ít nhất một dịch vụ của họ nằm trong diện bị ảnh hưởng và đã nhanh chóng tung ra bản vá. Tuy nhiên, còn nhiều tổ chức và nhà phát triển nhỏ hơn có thể đang thiếu nguồn lực và nhận thức về lỗ hổng, nên sẽ chậm trễ trong việc đối phó với mối đe dọa Log4Shell. Tại Việt Nam, Cục An toàn thông tin - Bộ Thông tin và Truyền thông cũng đưa ra cảnh báo lỗ hổng có thể gây ảnh hưởng đến nhiều hệ thống thông tin trong nước. Cục khuyến cáo các đơn vị kiểm tra, rà soát hệ thống thông tin có sử dụng Apache Log4j và cập nhật phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục.

Đội ngũ John&Partners tổng hợp