Cảnh báo lỗ hổng zero-day trong thư viện Log4j Java

Log4j được phát triển bởi Apache Foundation và được sử dụng rộng rãi bởi cả các ứng dụng doanh nghiệp và dịch vụ điện toán đám mây. Do vậy, các phần mềm doanh nghiệp đến các ứng dụng web và sản phẩm từ Apple, Amazon, Cloudflare, Twitter và Steam đều có thể bị tấn công thực thi mã từ xa (RCE). Ngay cả người dùng cũng có nguy cơ bị tấn công do một số game phổ biến như Minecraft vẫn còn dùng Java.

Lỗ hổng zero-day mới được theo dõi dưới mã CVE-2021-44228 và được đặt tên là Log4Shell hoặc LogJam. Khai thác thành công lỗ hổng này hacker có thể kiểm soát toàn bộ các hệ thống có cài đặt Log4j từ phiên bản 2.0-beta9 đến phiên bản 2.14.1.

Nhóm bảo mật của Alibaba Cloud đã báo cáo lỗ hổng này cho Apache vào ngày 24/11. Họ cũng tiết lộ rằng CVE-202144228 ảnh hưởng đến các cấu hình mặc định của nhiều framework Apache bao gồm Apache Strust2, Apache Solr, Apache Druid, Apaceh Flink...

Sau khi phương thức khai thác đầu tiên của Log4Shell được chia sẻ trên Internet vào ngày 09/12, hacker đã tích cực quét internet để tìm các hệ thống dễ bị tấn công. Chúng nhắm vào những hệ thống có chứa lỗ hổng nhưng không được bảo vệ chặt chẽ, không yêu cầu xác thực và có thể khai thác từ xa. Apache hiện đã phát hành phiên bản Log4j 2.15.0 để khắc phục lỗ hổng có mức độ nghiêm trọng CVE-2021-44228. Ngoài ra nếu chưa thể cập nhật bản vá, người dùng có thể thực hiện biện pháp khắc phục thay thế bằng cách đặt thuộc tính hệ thống "log4j2.formatMsgNoLookups" là "true" hoặc xóa lớp JndiLookup khỏi classpath. Biện pháp này chỉ có tác dụng với phiên bản Log4j 2.10 trở lên

Đối với cảnh báo lỗ hổng này, Trung tâm Giám sát an toàn không gian mạng quốc gia cũng đã có văn bản cảnh báo cho lỗ hổng này tại số 1734/CATTT-NCSC về việc lỗ hổng bảo mật ảnh hưởng nghiêm trọng trong Apache Log4j.