Apache phát hành bản vá thứ 3 để khắc phục lỗ hổng nghiêm trọng log4j

Lỗ hổng Log4j vẫn tiếp tục trở nên nghiêm trọng khi Apache Software Foundation (ASF) tung ra bản vá mới – phiên bản 2.17.0 dành cho một thư viện ghi nhật ký được sử dụng rộng rãi có thể bị các tác nhân nguy hại khai thác để tiến hành tấn công từ chối dịch vụ (DoS).

Với định danh là CVE-2021-45105 (điểm CVSS: 7,5), lỗ hổng bảo mật mới ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.16.0 mà tổ chức phi lợi nhuận nguồn mở phát hành đầu tuần này để khắc phục lỗ hổng thứ hai có thể dẫn đến thực thi mã từ xa (CVE-2021-45046). Lỗ hổng này xuất phát từ bản sửa lỗi “không hoàn chỉnh” cho CVE-2021-44228 hay còn gọi là lỗ hổng Log4Shell.

ASF giải thích trong một bài tư vấn: “Apache Log4j2 phiên bản 2.0-alpha1 đến 2.16.0 không bảo vệ đệ quy không kiểm soát khỏi các tra cứu tự tham chiếu”. “Khi cấu hình ghi nhật ký sử dụng Bố cục mẫu không mặc định với Tra cứu ngữ cảnh (ví dụ: $$ {ctx: loginId}), những kẻ tấn công có quyền kiểm soát dữ liệu đầu vào Bản đồ ngữ cảnh luồng (MDC) để tạo ra dữ liệu đầu vào độc hại có chứa đệ quy tra cứu, dẫn đến lỗi StackOverflowError làm cho quá trình kết thúc.”

Người đã báo cáo lỗ hổng được xác nhận là Hideki Okamoto của công ty Akamai Technologies và một nhà nghiên cứu lỗ hổng ẩn danh. Tuy nhiên, phiên bản Log4j 1.x không bị ảnh hưởng bởi lỗ hổng CVE-2021-45105.

Đáng nói là mức độ nghiêm trọng của lỗ hổng CVE-2021-45046, ban đầu được phân loại là lỗi DoS, sau đó đã được sửa đổi từ 3,7 thành 9,0, để phản ánh thực tế là kẻ tấn công có thể lạm dụng lỗ hổng để gửi một chuỗi được chế tạo đặc biệt dẫn đến “rò rỉ thông tin và thực thi mã từ xa trong một số môi trường và thực thi mã cục bộ trong mọi môi trường”, theo dẫn chứng từ một báo cáo trước đây của các nhà nghiên cứu bảo mật tại Praetorian.

Đội ngũ bảo dưỡng dự án cũng lưu ý rằng phiên bản Log4j 1.x đã hết hạn và không còn được hỗ trợ nữa, đồng thời các lỗ hổng bảo mật được phát hiện trong tiện ích sau tháng 8 năm 2015 sẽ không được sửa, khuyến cáo người dùng nâng cấp lên Log4j 2 để nhận các bản sửa lỗi mới nhất.

Các bản sửa lỗi này là bản sửa lỗi mới nhất trong một tình huống đầy biến động khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) ban hành chỉ thị khẩn cấp yêu cầu các cơ quan và bộ phận dân sự liên bang ngay lập tức vá các hệ thống internet của họ đối với các lỗ hổng Apache Log4j trước ngày 23 tháng 12 năm 2021, với lý do rằng các lỗ hổng gây ra “rủi ro không thể chấp nhận được.”

Các lỗ hổng Log4j ngày càng lớn mạnh trở thành một vectơ tấn công béo bở đồng thời là đầu mối khai thác của nhiều tác nhân đe dọa, bao gồm cả các tin tặc được quốc gia hậu thuẫn ở Trung Quốc, Iran, Triều Tiên và Thổ Nhĩ Kỳ cũng như băng nhóm ransomware Conti, để triển khai hàng loạt các hoạt động độc hại tiếp theo. Điều này đánh dấu lần đầu tiên lỗ hổng lọt vào tầm ngắm của một băng nhóm tội phạm mạng tinh vi.

Các nhà nghiên cứu của Advlntel cho biết: “Cuộc khai thác hiện tại dẫn đến nhiều use case trong đó băng nhóm Conti có khả năng đã thu lợi từ việc khai thác Log4j 2. Mục tiêu mà những tên tội phạm nhắm tới là các máy chủ Log4j 2 Vmware vCenter dễ bị tấn công để làm bước đệm xâm nhập trực tiếp vào hệ thống dẫn đến việc truy cập vào vCenter ảnh hưởng đến mạng lưới nạn nhân ở Mỹ và Châu Âu từ các phiên Cobalt Strike tồn tại trước đó.”

Trong số những tác nhân khai thác lỗ hổng này là thợ đào tiền mã hóa, botnet, trojan truy cập từ xa, nhà môi giới quyền truy cập ban đầu và một chủng ransomeware mới có tên là Khonsari. Công ty bảo mật Check Point của Israeli cho biết đến nay, họ đã ghi nhận hơn 3,7 triệu cuộc tấn công với 46% trong số đó là do các nhóm độc hại có tiếng thực hiện.

Theo The Hacker News