Các cơ quan an ninh mạng từ Úc, Canada, New Zealand, Mỹ và Anh hôm thứ Tư đã đưa ra một tư vấn chung để đối phó với việc khai thác rộng rãi nhiều lỗ hổng trong thư viện phần mềm Log4j của Apache bởi những kẻ thù bất chính.
“Các lỗ hổng này, đặc biệt là Log4Shell, rất nghiêm trọng”, các cơ quan tình báo cho biết trong hướng dẫn mới . “Các tác nhân đe dọa mạng tinh vi đang tích cực quét các mạng để có khả năng khai thác Log4Shell , CVE-2021-45046 và CVE-2021-45105 trong các hệ thống dễ bị tấn công. Những lỗ hổng này có khả năng bị khai thác trong một thời gian dài.”
Kẻ tấn công có thể khai thác Log4Shell (CVE-2021-44228) bằng cách gửi một yêu cầu được chế tạo đặc biệt tới một hệ thống dễ bị tấn công khiến hệ thống đó thực thi mã tùy ý. Mặt khác, CVE-2021-45046 cho phép thực thi mã từ xa trong một số cấu hình không mặc định, trong khi CVE-2021-45105 có thể bị kẻ tấn công từ xa lợi dụng để gây ra tình trạng từ chối dịch vụ (DoS).
Kể từ khi các lỗ hổng được công khai trong tháng này, các máy chủ chưa được vá đã bị bao vây từ các nhóm ransomware cho đến các tin tặc quốc gia, những kẻ đã sử dụng vector tấn công như một đường dẫn để có quyền truy cập vào mạng để triển khai báo hiệu Cobalt Strike, công cụ mã hóa và phần mềm độc hại botnet.
Đánh giá của Cục Điều tra Liên bang Hoa Kỳ (FBI) về các cuộc tấn công cũng làm dấy lên khả năng các kẻ đe dọa đang kết hợp các lỗ hổng vào “các kế hoạch tội phạm mạng hiện có đang tìm cách áp dụng các kỹ thuật làm nhiễu loạn ngày càng tinh vi.” Do mức độ nghiêm trọng của các lỗ hổng và khả năng bị khai thác gia tăng, các tổ chức đang được khuyến khích xác định, giảm thiểu và cập nhật các tài sản bị ảnh hưởng càng sớm càng tốt.
Để đạt được mục tiêu đó, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã phát hành một tiện ích quét để xác định các hệ thống dễ bị tấn công bởi lỗ hổng Log4Shell, sao chép một công cụ tương tự do Trung tâm Điều phối CERT (CERT / CC) phát hành.
Các chính phủ đã thực hiện bước mới nhất khi Apache Software Foundation (ASF) phát hành các bản cập nhật cho Apache HTTP Server 2.4.51 để giải quyết hai lỗi – CVE-2021-44790 (điểm CVSS: 9,8) và CVE-2021-44224 (điểm CVSS : 8.2) – trước đó có thể được vũ khí hóa bởi kẻ tấn công từ xa để thực thi mã tùy ý và kiểm soát một hệ thống bị ảnh hưởng.
