Mức độ nghiêm trọng của lỗ hổng trong Log4j là bất cứ điều gì ngoài lý thuyết. Tội phạm mạng scan cảng trên toàn thế giới để tìm cách khai thác chúng. Các nhà nghiên cứu bảo mật đã quan sát hàng trăm ngàn cuộc tấn công.
Trong vài ngày qua, Phần mềm Check Point đã ghi nhận 470,000 lần thử scan mạng lưới công ty trên toàn thế giới. Các scans được thực hiện, cùng với những việc khác, để tìm các máy chủ cho phép các yêu cầu HTTP bên ngoài. Những máy chủ như vậy có xu hướng khai thác lỗ hổng khét tiếng trong thư viện Java Log4j. Nếu máy chủ cho phép yêu cầu HTTP, kẻ tấn công có thể ping máy chủ bằng một dòng duy nhất trỏ đến máy chủ từ xa có hướng dẫn Java để thực thi phần mềm độc hại. Nếu máy chủ được ping được kết nối với ứng dụng Java xử lý Log4j thì ứng dụng Java sẽ xử lý dòng này dưới dạng lệnh để thực thi phần mềm độc hại. Ở cuối dòng, máy chủ của nạn nhân thực thi những gì kẻ tấn công ra lệnh. Tổ chức bảo mật Sophos cho biết họ đã xác định được hàng trăm nghìn cuộc tấn công.
Gương mặt thân quen
Trước đó chúng tôi đã viết một bài viết khai sáng về hoạt động kỹ thuật nêu trên của lỗ hổng trong Log4j. Điều kiện tiên quyết lớn nhất cho việc lạm dụng là khả năng tiếp cận các ứng dụng Java kết hợp với Log4j. Trong một số trường hợp đây là trò chơi của trẻ em. Ví dụ: Apple đã sử dụng tôiCloud Log4j để ghi lại tên của iPhone. Bằng cách thay đổi tên kiểu máy của iPhone trong iOS thành hướng dẫn dành cho Java, hóa ra là có thể bẻ khóa máy chủ của Apple.
Trong các trường hợp khác, ứng dụng ít bị ảnh hưởng hơn. Mối đe dọa lớn nhất đến từ những kẻ tấn công có kinh nghiệm, kiến thức và kỹ thuật hiện có. Các nhà nghiên cứu bảo mật từ Netlab360 đã thiết lập hai hệ thống mồi nhử (honeypots, ed.) để mời các cuộc tấn công vào các ứng dụng Java bằng Log4j. Do đó, các nhà nghiên cứu đã thu hút được 4 biến thể mới của các loại phần mềm độc hại phổ biến, bao gồm MIRAI và Muhstik. Các chủng phần mềm độc hại được thiết kế để lạm dụng Log846,000j. Mục tiêu tấn công phổ biến là củng cố các botnet để khai thác tiền điện tử và tấn công DDoS. Check Point Software đã thực hiện một cuộc khảo sát tương tự trên quy mô lớn hơn. Trong vài ngày qua, tổ chức an ninh đã đăng ký XNUMX cuộc tấn công.
Phòng thủ
Rõ ràng là tội phạm mạng đang tìm kiếm và khai thác các phiên bản dễ bị tấn công của Log4j. Cách bảo vệ được khuyên dùng nhất là kiểm kê tất cả các ứng dụng Log4j trong một môi trường. Nếu nhà cung cấp ứng dụng sử dụng Log4j đã phát hành phiên bản cập nhật thì nên vá lỗi. Nếu không, vô hiệu hóa là lựa chọn an toàn nhất. NCSC giữ cái nhìn tổng quan về lỗ hổng bảo mật của phần mềm mà Log4j được xử lý.
Hiện tại, bạn không nên phát triển các biện pháp phần mềm của riêng mình hoặc điều chỉnh hoạt động của Log4j. Lỗ hổng có nhiều biến thể. Microsoft, cùng với những hãng khác, đã phát hiện nhiều biến thể của quy tắc được sử dụng để hướng dẫn các ứng dụng Java chạy phần mềm độc hại. Check Point nói đến hơn 60 đột biến.