Trong những ngày cuối cùng trên mạng đã có rất nhiều lời bàn tán về lỗ hổng của Log4j trong đó các vectơ tấn công khác nhau đã được phát hiện và các hoạt động khai thác chức năng khác nhau cũng đã được lọc để khai thác lỗ hổng.
Vấn đề nghiêm trọng là đây là một khuôn khổ phổ biến để tổ chức sổ đăng ký trong các ứng dụng Java., cho phép mã tùy ý được thực thi khi một giá trị có định dạng đặc biệt được ghi vào sổ đăng ký ở định dạng "{jndi: URL}". Cuộc tấn công có thể được thực hiện trên các ứng dụng Java ghi nhật ký các giá trị thu được từ các nguồn bên ngoài, ví dụ bằng cách hiển thị các giá trị có vấn đề trong thông báo lỗi.
Và đó là kẻ tấn công thực hiện một yêu cầu HTTP trên một hệ thống mục tiêu, hệ thống này sẽ tạo ra một bản ghi bằng Log4j 2 Trong đó sử dụng JNDI để thực hiện yêu cầu đến trang web do kẻ tấn công kiểm soát. Lỗ hổng bảo mật sau đó khiến quy trình bị khai thác đến trang web và thực thi tải trọng. Trong nhiều cuộc tấn công được quan sát, tham số thuộc về kẻ tấn công là hệ thống đăng ký DNS, nhằm đăng ký một yêu cầu trên trang web để xác định các hệ thống dễ bị tấn công.
Như đồng nghiệp Isaac của chúng tôi đã chia sẻ:
Lỗ hổng này của Log4j cho phép khai thác xác thực đầu vào không chính xác đối với LDAP, cho phép thực thi mã từ xa (RCE), và xâm phạm máy chủ (tính bảo mật, tính toàn vẹn của dữ liệu và tính khả dụng của hệ thống). Ngoài ra, vấn đề hoặc tầm quan trọng của lỗ hổng này nằm ở số lượng ứng dụng và máy chủ sử dụng nó, bao gồm phần mềm kinh doanh và dịch vụ đám mây như Apple iCloud, Steam, hoặc các trò chơi điện tử phổ biến như Minecraft: Java Edition, Twitter, Cloudflare, Tencent, ElasticSearch, Redis, Elastic Logstash, v.v.
Nói về vấn đề này, gần đây Apache Software Foundation đã phát hành thông qua một bài đăng tóm tắt các dự án giải quyết lỗ hổng nghiêm trọng trong Log4j 2 cho phép mã tùy ý chạy trên máy chủ.
Các dự án Apache sau bị ảnh hưởng: Archiva, Druid, EventMesh, Flink, Fortress, Geode, Hive, JMeter, Jena, JSPWiki, OFBiz, Ozone, SkyWalking, Solr, Struts, TrafficControl và Calcite Avatica. Lỗ hổng bảo mật cũng ảnh hưởng đến các sản phẩm GitHub, bao gồm GitHub.com, GitHub Enterprise Cloud và GitHub Enterprise Server.
Trong những ngày gần đây đã có một sự gia tăng đáng kể của hoạt động liên quan đến việc khai thác tính dễ bị tổn thương. Ví dụ, Check Point đã ghi lại khoảng 100 lần khai thác mỗi phút trên các máy chủ hư cấu của nó trong đỉnh điểm của nó và Sophos đã thông báo về việc phát hiện ra một mạng botnet khai thác tiền điện tử mới, được hình thành từ các hệ thống có lỗ hổng chưa được vá trong Log4j 2.
Về thông tin đã được phát hành về sự cố:
- Lỗ hổng bảo mật đã được xác nhận trong nhiều hình ảnh Docker chính thức, bao gồm couchbase ,asticsearch, flink, solr, hình ảnh cơn bão, v.v.
- Lỗ hổng bảo mật có trong sản phẩm MongoDB Atlas Search.
- Sự cố xuất hiện trong nhiều sản phẩm khác nhau của Cisco, bao gồm Máy chủ cuộc họp Cisco Webex, Đại lý đám mây Cisco CX, Cisco
- Báo cáo bảo mật web nâng cao, Phòng thủ chống mối đe dọa từ hỏa lực của Cisco (FTD), Công cụ dịch vụ nhận dạng của Cisco (ISE), Trung tâm đám mây của Cisco, Trung tâm DNA của Cisco, Cisco. BroadWorks, v.v.
- Sự cố xuất hiện trong Máy chủ ứng dụng WebSphere của IBM và trong các sản phẩm Red Hat sau: OpenShift, OpenShift Logging, OpenStack Platform, Integration Camel, CodeReady Studio, Data Grid, Fuse và AMQ Streams.
- Đã xác nhận vấn đề trong Nền tảng quản lý mạng không gian Junos, Bộ điều khiển / Lập kế hoạch Northstar, Thông tin chi tiết / Người tìm đường / Người lập kế hoạch của Paragon.
- Nhiều sản phẩm của Oracle, vmWare, Broadcom và Amazon cũng bị ảnh hưởng.
Các dự án Apache không bị ảnh hưởng bởi lỗ hổng Log4j 2: Apache Iceberg, Guacamole, Hadoop, Log4Net, Spark, Tomcat, ZooKeeper và CloudStack.
Người dùng các gói có vấn đề nên khẩn trương cài đặt các bản cập nhật đã phát hành đối với họ, hãy cập nhật riêng phiên bản Log4j 2 hoặc đặt tham số Log4j2.formatMsgNoLookups thành true (ví dụ: thêm khóa "-DLog4j2.formatMsgNoLookup = True" khi khởi động).
Để khóa hệ thống dễ bị tấn công mà không có quyền truy cập trực tiếp, chúng tôi đề xuất khai thác vắc xin Logout4Shell, thông qua việc thực hiện một cuộc tấn công, làm lộ cài đặt Java "log4j2.formatMsgNoLookups = true", "com.sun.jndi .rmi.object. trustURLCodebase = false "và" com.sun.jndi.cosnaming.object.trustURLCodebase = false "để chặn các biểu hiện khác của lỗ hổng trên các hệ thống không được kiểm soát.