Log4Shell và những điều cần biết

Các chuyên gia bảo mật coi đây là một trong những lỗ hổng bảo mật máy tính nghiêm trọng nhất từng được phát hiện do mức độ phổ biến và cách thức dễ dàng khai thác để chiếm dữ liệu hay quyền kiểm soát.

 

{keywords}
 

Mức độ nghiêm trọng

Lỗ hổng bảo mật Log4Shell hay LogJam, mã định danh CVE-2021-44228, có thể bị khai thác thông qua gửi một chuỗi (string) đặc biệt tới hệ thống. Log4Shell là lỗ hổng tồn tại trên Apache Log4j, thư viện ghi nhật ký hoạt động (log) trong Java, vốn được sử dụng phổ biến trong nhiều ứng dụng và các mạng nội bộ, máy chủ của doanh nghiệp, tổ chức.

Chương trình logging có nhiệm vụ ghi nhật ký các sự kiện, không có chức năng chủ động chạy mã. Nhưng dữ liệu do Log4j lấy vào thường không được dọn dẹp thường xuyên, dẫn tới việc những kẻ tấn công có thể chèn mã độc hại vào và yêu cầu máy chủ java chạy đoạn mã đó.

Java là môi trường đa nền tảng được thiết kế để phù hợp với nhiều hệ điều hành nên các máy chủ chạy Windows, Linux hay macOS đều có nguy cơ bị tấn công như nhau.

Các phần mềm phổ biến sử dụng Log4j làm gói ghi nhật ký có thể kể tới như Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red hat, Steam, Tesla, Twitter và các trò chơi như Minecraft.

Jen Easterly, Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của chính phủ liên bang Mỹ gọi lỗ hổng này là "rủi ro nghiêm trọng" và là "thách thức cấp bách đối với an ninh mạng".

"Hàng triệu máy chủ có thể chứa lỗ hổng Log4Shell. Thiệt hại có thể được phơi bày trong vài ngày tới", Joe Sullivan, Giám đốc an ninh của Cloudflare cho biết. Trong khi đó, tổ chức phần mềm Apache đánh giá lỗ hổng này đạt 10/10 ở mức độ nghiêm trọng.

Cách thức tấn công đơn giản

Các chuyên gia bảo mật khuyến cáo, tin tặc có thể khai thác lỗ hổng để truy cập máy chủ mà không cần mật khẩu, từ đó xâm nhập mạng nội bộ, đánh cắp dữ liệu hay tài sản có giá trị hoặc cài đặt những phần mềm độc hại khác.

Việc khai thác có thể đạt được thông qua một chuỗi văn bản được soạn thảo đầy đủ, một yêu cầu đăng nhập, chuỗi tiêu đề hay bất kỳ dữ liệu nào được máy chủ mục tiêu ghi lại. Văn bản này sẽ đánh lừa máy chủ, thậm chí có thể gửi yêu cầu đến máy chủ khác do tin tặc kiểm soát để cài đặt thêm phần mềm và tiến hành các lệnh tấn công khác.

Theo LunaSec, chỉ cần thay đổi tên iPhone là đủ để kích hoạt lỗ hổng bảo mật trong máy chủ Apple. Còn đối với trò chơi phổ biến Minecraft của Microsoft, tin tặc chỉ cần một đoạn nhắn tin trong hộp hội thoại để xâm nhập hệ thống.

Do chủ yếu nhắm vào máy chủ nên người dùng cuối (end-user) sẽ không thể can thiệp nếu có sự cố xảy ra. Các chuyên gia bảo mật cũng khuyến nghị người dùng trên PC và macOS nên vô hiệu hoá Java cách đây vài năm. Tuy nhiên, người dùng cá nhân có thể đối mặt rủi ro bị đánh cắp thông tin cá nhân, tài khoản trực tuyến, thẻ tín dụng hoặc các trang web thường xuyên truy cập gửi phần mềm gián điệp độc hại.

Nhằm chủ động đối phó với các rủi ro nêu trên, người dùng cần chú ý cập nhật các bản vá lỗi do nhà sản xuất đưa ra, sử dụng các trình quản lý mật khẩu, theo dõi thông tin tài khoản thẻ tín dụng và sử dụng phần mềm diệt virus phiên bản mới nhất.

Vinh Ngô (Tổng hợp)

Lỗ hổng Log4Shell sẽ được vá trước Giáng sinh

Lỗ hổng Log4Shell sẽ được vá trước Giáng sinh

Cơ quan an ninh mạng và hạ tầng an ninh Mỹ (CISA) đã yêu cầu một số cơ quan dân sự liên bang vá lỗ hổng Log4Shell trước Giáng sinh.

Không xảy ra sự cố an toàn thông tin nghiêm trọng trong 7 ngày Tết Quý Mão

Trong đợt nghỉ tết Nguyên đán Quý Mão 2023 vừa qua, Cục An toàn thông tin, Bộ TT&TT đã hỗ trợ ứng cứu 41 sự cố an toàn thông tin. Các sự cố này đều ở mức trung bình và thấp, không gây hậu quả.

Cách bảo vệ tài khoản Facebook doanh nghiệp khỏi tấn công mạng

Facebook và các mạng xã hội khác đang là công cụ giao tiếp, quảng bá hữu hiệu cho doanh nghiệp, do đó nếu chúng rơi vào tay kẻ xấu thì hậu quả khó lường.

Nghề ‘siêu hot’ bất chấp sóng thần sa thải công nghệ

Ngành này vẫn đang thiếu tới hơn 700.000 nhân sự và luôn trong trạng thái ‘tìm người’.

Chung tay "làm sạch" không gian mạng

Các chuyên gia cho rằng, nếu không quyết liệt làm sạch không gian mạng, đẩy lùi vấn nạn lừa đảo online đang ngày càng nở rộ, rất có thể nhiều người dân sẽ e ngại khi hoạt động trên không gian mạng.

Tội phạm mạng lợi dụng sự cả tin và lòng tham của con người để lừa đảo

Dù có khá nhiều biện pháp công nghệ đã được thực hiện, tội phạm mạng vẫn lừa đảo thành công do sự cả tin và lòng tham của con người.

"TikToker Hưng baba được Nhà nước vinh danh" là thông tin sai sự thật

Trước việc người dùng chia sẻ thông tin sai sự thật về TikToker “Hưng baba” được vinh danh, Sở TT&TT Hải Phòng đã yêu cầu ông Hưng kiểm soát nội dung bình luận, chia sẻ trên mạng.

Cảnh báo 13 lỗ hổng mới có thể bị hacker lợi dụng tấn công hệ thống tại Việt Nam

Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo các cơ quan, tổ chức, doanh nghiệp về 13 lỗ hổng bảo mật mức cao và nghiêm trọng trong sản phẩm Microsoft. Để tránh bị khai thác, tấn công mạng, các đơn vị cần rà soát và cập nhật ngay bản vá.

Thờ ơ với kiến thức bảo mật

Nhiều người ít quan tâm đến kiến thức bảo mật trong khi việc nâng cao nhận thức cho toàn dân cần nỗ lực lớn, dẫn đến tình trạng lừa đảo trực tuyến vẫn thường xuyên diễn ra.

Mở hệ thống thi thử “Học sinh với An toàn thông tin 2023” từ giữa tháng 2

Năm 2023 là năm thứ 2 cuộc thi “Học sinh với An toàn thông tin” được tổ chức nhằm trang bị các kiến thức, kỹ năng giúp trẻ em biết tự bảo vệ mình khi tham gia môi trường mạng.

Gần 1.800 điểm yếu, lỗ hổng bảo mật tồn tại trong hệ thống của cơ quan nhà nước

Nhận định số điểm yếu, lỗ hổng trên là rất lớn, Cục An toàn thông tin đã chỉ đạo Trung tâm Giám sát an toàn không gian mạng quốc gia xác định những lỗ hổng nguy hiểm, ảnh hưởng diện rộng và hướng dẫn các bộ, ngành khắc phục.

Đang cập nhật dữ liệu !