ช่องโหว่ของ Log4j: มันคืออะไรและจะปลอดภัยได้อย่างไร?

ข้อบกพร่องที่รุนแรงมากใน อาปาเช่ Log4j, เรียกว่า Log4Shell, กลายเป็นช่องโหว่ด้านความปลอดภัยที่โด่งดังที่สุดบนอินเทอร์เน็ตในขณะนี้ด้วย a คะแนนความรุนแรง 10/10 . Log4j เป็นไลบรารี Java แบบโอเพ่นซอร์สสำหรับบันทึกข้อความแสดงข้อผิดพลาดในแอปพลิเคชัน ซึ่งใช้กันอย่างแพร่หลายโดยบริษัทเทคโนโลยีนับไม่ถ้วน

ต่อจากนี้ไป บริการของบริษัทเทคโนโลยีรายใหญ่กำลังประสบกับสิ่งที่ผู้เชี่ยวชาญด้านความปลอดภัยเรียกว่าหนึ่งในข้อบกพร่องที่สำคัญที่สุดในประวัติศาสตร์เมื่อเร็วๆ นี้ ข้อบกพร่องนี้ทำให้แฮกเกอร์สามารถเข้าถึงระบบคอมพิวเตอร์ได้อย่างไม่มีข้อจำกัด

ตามรายงานล่าสุดของ Microsoft มีผู้โจมตีอย่างน้อย 12 กลุ่มที่พยายามใช้ประโยชน์จากจุดบกพร่องเพื่อขโมยข้อมูลประจำตัวของระบบ ติดตั้งเครื่องขุด crypto บนระบบที่เสี่ยงภัย ขโมยข้อมูล และเจาะลึกเข้าไปในเครือข่ายที่ถูกบุกรุก

ข้อบกพร่องดังกล่าวรุนแรงมากจนหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลสหรัฐฯ ได้ออกคำเตือนอย่างเร่งด่วนไปยังบริษัทที่มีช่องโหว่ทั้งหมด และแนะนำให้พวกเขาดำเนินการตามขั้นตอนที่มีประสิทธิภาพทันที ค้นหาทุกอย่างเกี่ยวกับช่องโหว่ Zero-day นี้โดยละเอียด - Log4j และวิธีที่คุณจะปลอดภัยจากมัน

อัปเดต : พบช่องโหว่ที่สองของ Log4j; แพตช์ออกแล้ว

เมื่อวันอังคาร พบช่องโหว่ที่สองที่เกี่ยวข้องกับ Apache Log4j สิ่งนี้เกิดขึ้นหลังจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้เวลาหลายวันเพื่อแก้ไขหรือบรรเทาปัญหาแรก ชื่ออย่างเป็นทางการของช่องโหว่นี้คือ CVE 2021-45046

คำอธิบายระบุว่าการแก้ไขที่อยู่ CVE-2021-44228 ใน Apache Log4j 2.15.0 ไม่สมบูรณ์ในการกำหนดค่าที่ไม่ใช่ค่าเริ่มต้นบางอย่าง สิ่งนี้อาจทำให้ผู้โจมตี... สร้างข้อมูลอินพุตที่เป็นอันตรายโดยใช้รูปแบบการค้นหา JNDI ส่งผลให้เกิดการโจมตีแบบปฏิเสธบริการ (DOS)

บริษัทรักษาความปลอดภัยระหว่างประเทศ ESET นำเสนอแผนที่แสดงตำแหน่งที่การใช้ประโยชน์จาก Log4j กำลังเกิดขึ้น

ที่มาของภาพ: กรณี

สิ่งที่ดีคือ Apache ได้เปิดตัวโปรแกรมแก้ไข Log4j 2.16.0 แล้ว เพื่อแก้ไขและแก้ไขปัญหานี้ แพตช์ล่าสุดแก้ปัญหาด้วยการเอาการสนับสนุนสำหรับรูปแบบการค้นหาข้อความออกและปิดใช้งานฟังก์ชัน JNDI ตามค่าเริ่มต้น

ช่องโหว่ Log4j คืออะไร?

ช่องโหว่ของ Log4j หรือที่เรียกว่า Log4Shell เป็นปัญหากับไลบรารี Logj4 Java ที่อนุญาตให้ผู้โจมตีควบคุมและรันโค้ดโดยอำเภอใจ และเข้าถึงระบบคอมพิวเตอร์ได้ ชื่ออย่างเป็นทางการของช่องโหว่นี้คือ CVE-2021-44228 .

Log4j เป็นไลบรารี Java โอเพ่นซอร์สที่สร้างโดย Apache ซึ่งมีหน้าที่เก็บบันทึกกิจกรรมทั้งหมดในแอปพลิเคชัน นักพัฒนาซอฟต์แวร์ใช้กันอย่างแพร่หลายสำหรับแอปพลิเคชันของตน ดังนั้น แม้แต่บริษัทเทคโนโลยีที่ใหญ่ที่สุดอย่าง Microsoft, Twitter และ Apple ก็มักจะถูกโจมตีได้ในขณะนี้

ช่องโหว่ของ Log4j ถูกค้นพบหรือค้นพบได้อย่างไร

ช่องโหว่ Log4Shell (Log4j) ถูกค้นพบครั้งแรกโดยนักวิจัยที่ LunaSec ใน Minecraft ที่ Microsoft เป็นเจ้าของ ต่อมา นักวิจัยตระหนักว่าไม่ใช่ความผิดพลาดของ Minecraft และ LunaSec ได้เตือนว่าบริการจำนวนมากมีความเสี่ยงต่อการใช้ประโยชน์นี้เนื่องจากการมีอยู่ทั่วไปของ Log4j

ตั้งแต่นั้นมา มีรายงานจำนวนมากที่ระบุว่าเป็นหนึ่งในข้อบกพร่องที่ร้ายแรงที่สุดในช่วงไม่กี่ครั้งที่ผ่านมา และเป็นข้อบกพร่องที่จะส่งผลกระทบต่ออินเทอร์เน็ตในอีกหลายปีข้างหน้า

ช่องโหว่ Log4j สามารถทำอะไรได้บ้าง

ช่องโหว่ของ Log4j สามารถให้สิทธิ์การเข้าถึงระบบอย่างสมบูรณ์แก่แฮกเกอร์/ผู้โจมตี/ผู้บุกรุก พวกเขาเพียงแค่ต้องรันโค้ดตามอำเภอใจเพื่อเข้าถึงได้ไม่จำกัด ข้อบกพร่องนี้ยังสามารถทำให้พวกเขาได้รับการควบคุมที่สมบูรณ์ของเซิร์ฟเวอร์เมื่อพวกเขาจัดการระบบอย่างถูกต้อง

คำจำกัดความทางเทคนิคของข้อบกพร่องในไลบรารี CVE (ช่องโหว่ทั่วไปและการเปิดรับ) ระบุว่าผู้โจมตีที่สามารถควบคุมข้อความบันทึกหรือพารามิเตอร์ข้อความบันทึกสามารถเรียกใช้โค้ดโดยอำเภอใจที่โหลดจากเซิร์ฟเวอร์ LDAP เมื่อเปิดใช้งานการแทนที่การค้นหาข้อความ

ดังนั้นอินเทอร์เน็ตจึงตื่นตัวสูงเนื่องจากผู้โจมตีพยายามกำหนดเป้าหมายระบบที่อ่อนแออย่างต่อเนื่อง

อุปกรณ์และแอพพลิเคชั่นใดบ้างที่เสี่ยงต่อช่องโหว่ของ Log4j

ช่องโหว่ของ Log4j นั้นร้ายแรงสำหรับผู้หลอกลวงที่ใช้ Apache Log4J เวอร์ชัน 2.0 ถึง 2.14.1 และสามารถเข้าถึงอินเทอร์เน็ตได้ ตาม NCSC เฟรมเวิร์ก Apache Struts2, Solr, Druid, Flink และ Swift รวมถึงเวอร์ชันความรัก (Log4j เวอร์ชัน 2 หรือ Log4j2)

สิ่งนี้ทำให้บริการจำนวนมากรวมถึงบริการจากยักษ์ใหญ่ด้านเทคโนโลยีเช่น iCloud ของ Apple, Minecraft ของ Microsoft, Twitter, Steam, Tencent, Google, Amazon, CloudFare, NetEase, Webex, LinkedIn เป็นต้น

เหตุใดช่องโหว่นี้จึงรุนแรงและจัดการกับปัญหาได้ยากยิ่ง

ช่องโหว่นี้รุนแรงมากจนแฮ็กเกอร์พยายามมากกว่า 100 ครั้งต่อนาทีเพื่อใช้ประโยชน์จากระบบที่อ่อนแออย่างร้ายแรงโดยใช้ Apache Log4j2 ทำให้บริษัทหลายล้านแห่งตกอยู่ในอันตรายจากการโจรกรรมทางไซเบอร์

ตามรายงาน เฉพาะในอินเดีย ข้อบกพร่องนี้ทำให้ 41% ขององค์กรมีความเสี่ยงที่จะถูกแฮ็ก การวิจัยจุดตรวจสอบกล่าวว่าได้ตรวจพบการโจมตีมากกว่า 846,000 ที่ใช้ประโยชน์จากข้อบกพร่อง

Kryptos Logic ซึ่งเป็นบริษัทรักษาความปลอดภัยได้ประกาศว่า ได้ค้นพบที่อยู่ IP ที่แตกต่างกันมากกว่า 10,000 รายการในการสแกนอินเทอร์เน็ต และมากกว่าระบบที่ตรวจสอบ LogShell ถึง 100 เท่า .

ช่องโหว่นี้มีขนาดใหญ่มากเนื่องจาก Apache เป็นเว็บเซิร์ฟเวอร์ที่ใช้กันอย่างแพร่หลาย และ Log4j เป็นแพ็คเกจการบันทึก Java ที่ได้รับความนิยมมากที่สุด มีการดาวน์โหลดมากกว่า 400,000 ครั้งจากที่เก็บ GitHub เท่านั้น

จะปลอดภัยจากช่องโหว่ของ Log4j ได้อย่างไร?

ตามผู้ใช้ล่าสุด Apache กำลังแก้ไขปัญหาสำหรับทุกคนใน Log4j 2.15.0 ขึ้นไป เนื่องจากพวกเขากำลังปิดการใช้งานการทำงานตามค่าเริ่มต้น ผู้เชี่ยวชาญพยายามชั่งน้ำหนักอย่างต่อเนื่องในวิธีการลดความเสี่ยงของภัยคุกคามนี้และปกป้องระบบ Microsoft และ Cisco ยังได้เผยแพร่คำแนะนำสำหรับข้อบกพร่องดังกล่าว

LunaSec ได้กล่าวไว้ว่า Minecraft ได้ระบุไว้แล้วว่าผู้ใช้สามารถอัปเดตเกมเพื่อหลีกเลี่ยงปัญหาใด ๆ โครงการโอเพ่นซอร์สอื่น ๆ เช่น Paper ก็ออกแพตช์เพื่อแก้ไขปัญหาเช่นกัน .

Cisco และ VMware ได้เปิดตัวแพตช์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบเช่นกัน บริษัทเทคโนโลยีรายใหญ่ส่วนใหญ่ได้กล่าวถึงประเด็นนี้ต่อสาธารณะและเสนอมาตรการรักษาความปลอดภัยสำหรับผู้ใช้และพนักงานของตน พวกเขาเพียงแค่ต้องปฏิบัติตามอย่างเคร่งครัด

ผู้เชี่ยวชาญพูดถึงช่องโหว่ของ Log4j อย่างไร

ช่องโหว่ของ Log4j ได้ทำให้ผู้ดูแลระบบและผู้เชี่ยวชาญด้านความปลอดภัยต้องงุนงงในช่วงสุดสัปดาห์ที่ผ่านมา Cisco และ Cloudflare รายงานว่าแฮกเกอร์ใช้ประโยชน์จากจุดบกพร่องนี้ตั้งแต่ต้นเดือนนี้ อย่างไรก็ตาม ตัวเลขเพิ่มขึ้นอย่างมากหลังจากการเปิดเผยโดย Apache ในวันพฤหัสบดี

โดยปกติบริษัทจะจัดการกับข้อบกพร่องดังกล่าวเป็นการส่วนตัว แต่ผลกระทบของช่องโหว่นี้มีมากมายมหาศาลจนบริษัทต่างๆ ต้องจัดการเรื่องนี้ต่อสาธารณะ แม้แต่ฝ่ายความมั่นคงปลอดภัยทางไซเบอร์ของรัฐบาลสหรัฐฯ ก็ออกคำเตือนอย่างจริงจัง

เมื่อวันเสาร์ที่ผ่านมา Jen Easterly ผู้อำนวยการหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ กล่าวว่า ช่องโหว่นี้ถูกใช้โดย 'กลุ่มผู้คุกคามที่เพิ่มมากขึ้น' ข้อบกพร่องนี้เป็นหนึ่งในปัญหาร้ายแรงที่สุดที่ฉันเคยเห็นในอาชีพการงานทั้งหมดของฉัน หากไม่ใช่สิ่งที่ร้ายแรงที่สุด

Chris Frohoff นักวิจัยด้านความปลอดภัยอิสระกล่าวว่า สิ่งที่เกือบจะแน่นอนก็คือ เป็นเวลาหลายปีที่ผู้คนจะค้นพบซอฟต์แวร์ที่มีช่องโหว่ใหม่ๆ เนื่องจากพวกเขาคิดถึงสถานที่ใหม่ๆ ในการใส่สตริงการเอารัดเอาเปรียบ ซึ่งอาจปรากฏในการประเมินและการทดสอบการเจาะระบบของแอปองค์กรที่กำหนดเองมาเป็นเวลานาน

ผู้เชี่ยวชาญเชื่อว่าแม้การตระหนักถึงผลกระทบที่จะเกิดขึ้นในอนาคตอันใกล้จะเป็นสิ่งสำคัญ แต่สิ่งสำคัญอันดับแรกคือต้องดำเนินการให้มากที่สุดเท่าที่จะทำได้เพื่อลดความเสียหาย

ในขณะที่ผู้โจมตีจะมองหาวิธีที่สร้างสรรค์มากขึ้นในการค้นพบและใช้ประโยชน์จากระบบต่างๆ ให้ได้มากที่สุด ข้อบกพร่องที่น่ากลัวนี้จะทำให้เกิดการทำลายล้างทางอินเทอร์เน็ตต่อไปในอีกหลายปีข้างหน้า!