Sau gần hai năm áp dụng những thay đổi lớn về mạng và bảo mật do COVID-19 thực hiện và công việc kết hợp, các nhóm bảo mật và mạng CNTT mệt mỏi không cần phải giải quyết một vấn đề lớn nào khác, nhưng họ có một vấn đề: lỗ hổng trong phần mềm Apache Log4j ghi nhật ký Java mã nguồn mở.
Log4j hay Log4Shell đã có từ lâu – nó được phát hành vào tháng 1 năm 2001 – và được sử dụng rộng rãi trong tất cả các dịch vụ, trang web và ứng dụng của doanh nghiệp và người tiêu dùng. Các chuyên gia mô tả hệ thống như một tiện ích chung dễ sử dụng để hỗ trợ phát triển ứng dụng máy khách / máy chủ.
Điểm yếu của Log4j, được xác định trong CVE-2021-44228 và CVE-2021-45046 trong Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia, về cơ bản cho phép một tác nhân từ xa chưa được xác thực kiểm soát hệ thống máy chủ bị ảnh hưởng và có quyền truy cập vào thông tin công ty hoặc thực hiện cuộc tấn công từ chối dịch vụ.
Các chuyên gia cho biết có một giải pháp khắc phục sự cố, vì vậy các tổ chức nên ngay lập tức nâng cấp lên Log4j Phiên bản 2.17.0 để được bảo vệ khỏi cả CVE.
Tuy nhiên, tác động của lỗ hổng bảo mật có thể rất lớn vì nó đã tồn tại trong tự nhiên quá lâu và do Log4j đã được sử dụng rộng rãi. Thư viện Log4j được nhúng trong hầu hết các dịch vụ và ứng dụng internet bao gồm Twitter, Amazon và Microsoft, theo Check Point.
Tom Kellermann, người đứng đầu Chiến lược An ninh mạng của VMware cho biết: “Sâu Log4j có thể làm hỏng cơ sở hạ tầng quan trọng và nó đã là một mối đe dọa an ninh quốc gia. “Những kẻ xấu của nhà nước đang khai thác nó khi chúng ta nói.”
Ví dụ: Check Point cho biết họ đã chứng kiến hơn 2,8 triệu nỗ lực khai thác lỗ hổng bảo mật và hơn 46% trong số đó được thực hiện bởi các nhóm độc hại đã biết tính đến ngày 16 tháng 12. “Cho đến nay, chúng tôi đã thấy hơn 47% công ty đã cố gắng khai thác. mạng toàn cầu, ”Check Point nói.
Đơn vị nghiên cứu bảo mật Talos của Cisco tuyên bố rằng họ đã phát hiện thấy nỗ lực đặt chuỗi tấn công Giao diện thư mục và Đặt tên Java Log4j (JNDI) trong email. “Tại thời điểm này, chúng tôi chưa xác định được các chiến dịch email rộng rãi đang cố gắng sử dụng các thông điệp email để kích hoạt lỗ hổng bảo mật. Nó có khả năng bị tái phát vì nhiều tác nhân đe dọa và các nhà nghiên cứu về cơ bản đang thử mọi thứ với nỗ lực tìm kiếm thứ gì đó cuối cùng tấn công log4j, ”nhóm tuyên bố.
Nick Biasini, người đứng đầu cho biết: “Vấn đề lớn nhất đối với khách hàng doanh nghiệp là số lượng hệ thống có thể bị ảnh hưởng vì hệ thống ghi nhật ký quá phổ biến và trong khi các máy chủ sử dụng Internet có thể rất dễ bị tấn công, thì chính các máy chủ hạ lưu được liên kết với chúng cũng có vấn đề”, Nick Biasini, người đứng đầu. tiếp cận với Cisco Talos. “Ngoài ra, các tổ chức tổ chức ghi nhật ký quy trình hàng loạt có thể không được xử lý trong nhiều tuần, do đó tác động khai thác sẽ được cảm nhận trong một thời gian dài.”
“Lỗ hổng Log4j cực kỳ phổ biến và có thể ảnh hưởng đến các ứng dụng doanh nghiệp, hệ thống nhúng và các thành phần phụ của chúng,” Jonathan Care, giám đốc nghiên cứu tại Gartner Research cho biết trong một tuyên bố. “Các ứng dụng dựa trên Java bao gồm Cisco Webex, Minecraft và FileSilla FTP đều là ví dụ về các chương trình bị ảnh hưởng, nhưng đây không phải là danh sách đầy đủ. Lỗ hổng bảo mật thậm chí còn ảnh hưởng đến sứ mệnh trực thăng Mars 2020, Ingenuity, sử dụng Apache Log4j để ghi lại sự kiện. ”
Care lưu ý rằng cộng đồng bảo mật đã tạo danh sách phân loại các hệ thống dễ bị tấn công và nó bao gồm các công ty mạng lớn như Cisco, Juniper, Arista, Palo Alto và VMware cũng như các công ty lớn khác trong ngành như IBM, AWS và Google.
“Tuy nhiên, điều quan trọng cần lưu ý là các danh sách này liên tục thay đổi, vì vậy nếu một ứng dụng hoặc hệ thống cụ thể không được bao gồm, đừng coi đó là sự đảm bảo rằng nó không bị ảnh hưởng,” Care nói. “Khả năng tiếp xúc với lỗ hổng này là rất cao và ngay cả khi một hệ thống công nghệ cụ thể không sử dụng Java, các nhà lãnh đạo bảo mật nên dự đoán rằng các hệ thống nhà cung cấp chính — nhà cung cấp SaaS, nhà cung cấp dịch vụ lưu trữ đám mây và nhà cung cấp máy chủ web— làm,” Care nêu rõ.
Biện pháp khắc phục hậu quả
Các chuyên gia cho biết có một số việc doanh nghiệp có thể làm để ứng phó với lỗ hổng Log4j.
Kellermann cho biết: “Người dùng doanh nghiệp nên triển khai bản vá Log4j 2.16 ngay lập tức, nhưng họ cũng có thể phân đoạn nhỏ lưu lượng ra ngoài để cấm các kết nối mới”. “Họ cũng cần theo dõi các luồng giao thông bất thường trong những môi trường đó và mở rộng khả năng săn lùng mối đe dọa của họ.”
VMware cho biết họ đã ứng phó với tình trạng Log4j trong một số sản phẩm của mình. Ví dụ: Chữ ký IDS / IPS và Phát hiện và Phản hồi Mạng NSX (NDR) được phân phối NSX đã được phát hành để phát hiện các nỗ lực khai thác Log4J, bao gồm cả các phương pháp làm xáo trộn được thấy trong tự nhiên. Các chữ ký này sẽ phát hiện và ngăn chặn các nỗ lực khai thác lỗ hổng bảo mật bất kể nguồn gốc xuất phát từ đâu, VMware nêu rõ.
Cisco, Palo Alto, AWS và những người khác cũng đã ứng phó với lỗ hổng bảo mật.
Gartner Care cho biết các nhà lãnh đạo an ninh mạng cần đặt việc xác định và khắc phục lỗ hổng bảo mật này là ưu tiên tuyệt đối và ngay lập tức.
“Bắt đầu bằng việc kiểm tra chi tiết mọi ứng dụng, trang web và hệ thống trong phạm vi trách nhiệm của bạn có kết nối internet hoặc có thể được coi là công khai. Điều này bao gồm các cài đặt tự lưu trữ của các sản phẩm của nhà cung cấp và các dịch vụ dựa trên đám mây, ”Care cho biết. “Đặc biệt chú ý đến các hệ thống chứa dữ liệu hoạt động nhạy cảm, chẳng hạn như chi tiết khách hàng và thông tin đăng nhập.”
Khi quá trình kiểm tra này hoàn tất, hãy chuyển sự chú ý của bạn đến các nhân viên từ xa và đảm bảo rằng họ cập nhật các thiết bị cá nhân và bộ định tuyến, những thứ tạo thành một liên kết quan trọng trong chuỗi bảo mật, Care nêu rõ.
“Điều này có thể sẽ đòi hỏi một cách tiếp cận chủ động, có liên quan, vì chỉ cần đưa ra một danh sách hướng dẫn là không đủ, vì các bộ định tuyến dễ bị tấn công cung cấp một điểm vào tiềm năng vào các ứng dụng và kho dữ liệu quan trọng của doanh nghiệp,” Care nói. “Bạn sẽ cần sự hỗ trợ và hợp tác của nhóm CNTT rộng lớn hơn.”
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) khuyến nghị các tổ chức thực hiện ba bước bổ sung, ngay lập tức liên quan đến lỗ hổng này: “Lặp lại bất kỳ thiết bị quay mặt bên ngoài nào đã cài đặt log4j; Đảm bảo rằng trung tâm hoạt động bảo mật của bạn đang kích hoạt mọi cảnh báo trên các thiết bị thuộc loại trên; và Cài đặt tường lửa ứng dụng web (WAF) với các quy tắc tự động cập nhật để SOC của bạn có thể tập trung vào ít cảnh báo hơn. ”
Ohoạt động của ther Log4j
- X-Force của IBM đã tạo ra một công cụ quét để phát hiện Log4Shell. Bạn có thể truy cập miễn phí tại đây: https://github.com/xforcered/scan4log4shell.
- Microsoft tuyên bố rằng vì lỗ hổng này nằm trong thư viện Java, bản chất đa nền tảng của Java có nghĩa là lỗ hổng này có thể bị khai thác trên nhiều nền tảng, bao gồm Windows, macOS và Linux. Vì nhiều ứng dụng dựa trên Java có thể tận dụng Log4j 2 trực tiếp hoặc gián tiếp, các tổ chức nên liên hệ với các nhà cung cấp ứng dụng hoặc đảm bảo các ứng dụng Java của họ đang chạy phiên bản cập nhật mới nhất. Các nhà phát triển sử dụng Log4j 2 phải đảm bảo rằng họ đang kết hợp phiên bản Log4j mới nhất vào ứng dụng của mình càng sớm càng tốt để bảo vệ người dùng và tổ chức.
- Microsoft cũng tuyên bố rằng Azure App Service and Functions không phân phối Log4J trong các thời gian chạy được quản lý như Tomcat, Java SE, JBoss EAP hoặc Functions Runtime. Tuy nhiên, các ứng dụng có thể sử dụng Log4J và dễ bị tấn công bởi lỗ hổng này. Khách hàng nên áp dụng các bản cập nhật bảo mật Log4j mới nhất và triển khai lại các ứng dụng.
- Cisco Talos đã phát hành bảy chữ ký ClamAV mới cho CVE-2021-44228 và CVE-2021-45046. Một ID Chữ ký Snort mới, 58795, cũng đã được phát hành.
Bản quyền © 2021 IDG Communications, Inc.
