Vào ngày 9 tháng 12 năm 2021, một lỗ hổng thực thi mã từ xa (RCE) trong Apache log4j 2được xác định và được định danh bằng mã CVE-2021-44228. Bằng chứng khai thác (PoC) công khai đã được phát hành và cho thấy việc khai thác cực kỳ dễ thực hiện. Bằng cách gửi một yêu cầu độc hại đến một hệ thống bị lỗ hổng Log4j kẻ tấn công có thể điều khiển hệ thống đó tải xuống và sau đó thực thi mã độc. Do việc khai thác này mới được phát hiện gần đây, nên vẫn còn nhiều Server kể cả vật lý hay môi trường Cloud, vẫn chưa được vá. Giống như nhiều vụ khai thác RCE có mức độ nghiêm trọng cao, cho đến nay, hoạt động scan quy mô lớn của Hacker đã bắt đầu trên internet với mục đích tìm kiếm và khai thác các hệ thống chưa được vá. Để khắc phục lỗ hổng từ Log4j, bạn cần nâng cấp lên phiên bản mới nhất Apache log4j 2 (2.15.0-rc2) cho tất cả các hệ thống.
Log4j là một thư viện Java và mặc dù ngôn ngữ lập trình ngày nay ít phổ biến hơn với người tiêu dùng, nhưng nó vẫn được sử dụng rất rộng rãi trong các hệ thống doanh nghiệp và ứng dụng web.
Hiện nay hầu như các ứng dụng Java đều sử dụng thư viện Log4j. Log4j được phát triển bởi Apache Foundation và được sử dụng rộng rãi bởi cả ứng dụng dành cho doanh nghiệp và dịch vụ đám mây.
Các ứng dụng web và sản phẩm từ Apple, Amazon, Cloudflare, Twitter và Steam đều có khả năng bị tấn công RCE nhắm vào mục tiêu này tính dễ đang dính lỗ hổng bảo mật này.
Phiên bản Apache Log4j bị ảnh hưởng
Apache Log4j 2.x <= 2.15.0-rc1
Phần mềm bị ảnh hưởng
Apache log4j 2 là một module ghi nhật ký dựa trên Java mã nguồn mở, được sử dụng trong nhiều ứng dụng Java trên khắp thế giới. So với bản phát hành log4j 1.X ban đầu, log4j 2 đã giải quyết các vấn đề với bản phát hành trước đó và cung cấp kiến trúc plugin cho người dùng. Vào ngày 5 tháng 8 năm 2015, log4j 2 đã trở thành phiên bản chính và tất cả người dùng log4j phiên bản trước được khuyến nghị nâng cấp lên log4j 2. Apache log4j 2 được sử dụng rộng rãi trong nhiều ứng dụng phần mềm phổ biến, chẳng hạn như Apache Struts, ElasticSearch, Redis, Kafka và những người khác.
Một số lượng đáng kể các ứng dụng dựa trên Java đang sử dụng log4j làm tiện ích ghi nhật ký và rất dễ bị tấn công bởi CVE này. Theo thống kê, ít nhất phần mềm sau có thể bị ảnh hưởng:
- Apache Struts
- Apache Solr
- Apache Druid
- Apache Flink
- ElasticSearch
- Flume
- Apache Dubbo
- Logstash
- Kafka
- Spring-Boot-starter-log4j2
Danh sách các công ty có sản phẩm bị ảnh hưởng
Bạn có thể click vào từng tên công ty để xem ảnh bằng chứng bị tấn công qua lỗi Log4j
| Công ty | Notes | Tồn lại lỗ hổng |
|---|---|---|
| Apple | CÓ | |
| Tencent | CÓ | |
| Steam | CÓ | |
| CÓ | ||
| Baidu | CÓ | |
| DIDI | CÓ | |
| JD | CÓ | |
| NetEase | CÓ | |
| CloudFlare | CÓ | |
| Amazon | CÓ | |
| Tesla | CÓ | |
| Apache Solr | CÓ | |
| Apache Druid | CÓ | |
| Apache Flink | KHÔNG | |
| Apache Struts2 | CÓ | |
| flume | KHÔNG | |
| dubbo | KHÔNG | |
| IBM Qradar SIEM | CÓ | |
| PaloAlto Panorama | CÓ | |
| Redis | KHÔNG | |
| logstash | KHÔNG | |
| ElasticSearch | CÓ | |
| kafka | KHÔNG | |
| ghidra | CÓ | |
| ghidra server | CÓ | |
| Minecraft | CÓ | |
| PulseSecure | CÓ | |
| UniFi | CÓ | |
| VMWare | CÓ | |
| Blender | CÓ | |
| CÓ | ||
| Webex | CÓ | |
| CÓ | ||
| VMWarevCenter | CÓ | |
| Speed camera LOL | CÓ |
Hiện nay đã có một số trang github chia sẽ PoC, cách khai thác lỗ hổng Log4j – CVE-2021-44228, nếu bạn muốn nghiên cứu có thể tìm tại đây
