Khai thác Log4j, được một số người gọi là Log4Shell hoặc CVE-2021-44228, đã được đưa tin trong vài tuần qua. Rất tệ! Nó ở mọi nơi! Nhưng thật sự nó là gì? Làm thế nào để nó xâm nhập vào hàng triệu máy chủ? Và làm thế nào bạn có thể tự bảo vệ mình khỏi hậu quả của lỗ hổng này?
Đó không phải là dữ liệu, đó là mã!
Trọng tâm của vấn đề Log4j là sự nhầm lẫn giữa dữ liệu thuần túy và các lệnh thực thi. Mã độc đã khai thác sự nhầm lẫn này gần như mãi mãi.
Trong thời đại của virus máy tính DOS, các chương trình trên đĩa chỉ được sao chép trực tiếp vào bộ nhớ và thực thi. Virus ban đầu được thêm vào dưới dạng khối dữ liệu ở cuối chương trình chính. Bằng cách thay đổi một hoặc hai byte ở đầu chương trình, chúng đã khiến DOS thực thi mã virus trước khi thực hiện chương trình. Và trong thời gian ngắn, virus đã xâm nhập vào nhiều chương trình hơn.
Các chương trình Windows, được gọi là chương trình Portable Executable (PE), phức tạp hơn nhiều. Các khối thông tin khác nhau được tải vào vùng bộ nhớ thích hợp và các khối này được đánh dấu là mã hoặc dữ liệu. Tuy nhiên, những kẻ tấn công vẫn đang thực hiện các cuộc tấn công giải phóng dữ liệu một cách mạnh mẽ. Các phiên bản Windows hiện đại sử dụng Ngăn chặn Thực thi Dữ liệu (DEP) và Ngẫu nhiên Ghi nhãn Không gian Địa chỉ (ASLR) để ngăn chặn các cuộc tấn công như vậy.
Java và mã nguồn mở
Log4j được viết bằng Java, có nghĩa là nó vốn không an toàn như DEP và ASLR. Mặt khác, nó là một gói mã nguồn mở. Điều này có nghĩa là bất kỳ ai (tốt, bất kỳ ai có kỹ năng lập trình) đều có thể đọc mã nguồn, tìm lỗi và góp phần cải thiện gói.
Lý thuyết cho rằng nguồn mở an toàn hơn vì nó đã được nhiều nhóm nghiên cứu và vì không có cách nào để ẩn phần phụ trợ hoặc bất kỳ tính năng không mong muốn nào khác trong mã. Khi thư viện liên quan rất nhạy cảm, có thể liên quan đến viết mã, nó thực sự cần được giám sát nghiêm túc. Nhưng rõ ràng mô-đun hack đơn giản này đã không nhận được sự chú ý xứng đáng.
Tại sao nó ở khắp mọi nơi?
Khi có một lỗ hổng bảo mật trong một hệ điều hành hoặc trình duyệt phổ biến, nó thường chỉ ảnh hưởng đến người dùng của hệ điều hành hoặc trình duyệt đó. Nhà phát hành phát triển phiên bản mới vá lỗ hổng, tung ra bản cập nhật và mọi thứ đều ổn.
Log4j thì khác. Nó không phải là một hệ điều hành, trình duyệt hay thậm chí là một chương trình. Thay vào đó, nó là thứ mà các lập trình viên gọi là thư viện, gói hoặc mô-đun mã. Nó phục vụ một mục đích – ghi lại những gì xảy ra trên máy chủ.
Các lập trình viên muốn tập trung vào những gì làm cho chương trình của họ trở nên độc đáo. Họ không muốn phát minh lại bánh xe. Do đó, chúng dựa vào vô số thư viện mã hiện có, chẳng hạn như Log4j. Mô-đun Log4j đến từ Apache, đây là phần mềm máy chủ được sử dụng rộng rãi nhất trên web. Và do đó, nó có thể được tìm thấy trên hàng triệu máy chủ.
Ai là nạn nhân ở đây?
Đây là một điểm quan trọng. Lỗ hổng tấn công trong Log4j: Họ không phải nhằm vào bạn Tin tặc buộc anh phải gõ một dòng văn bản trở thành lệnh để cố gắng cài đặt phần mềm độc hại máy chủ. Microsoft cho biết tin tặc được nhà nước bảo trợ đang sử dụng nó, có khả năng phát tán ransomware. Apple, Cloudflare, Twitter, Valve và các công ty lớn khác bị ảnh hưởng.
Bạn có thể đã xem (hoặc đã xem) một video trên YouTube nơi một nhà nghiên cứu bảo mật trình diễn việc tiếp quản máy chủ Minecraft bằng trò chuyện trong trò chơi, không hơn không kém. Điều này không có nghĩa là nó ảnh hưởng đến những người chơi tham gia trò chuyện. Vì vậy nhà nghiên cứu đã làm máy chủ để thực thi mã tùy ý.
Được giới thiệu bởi các biên tập viên của chúng tôi
Nhưng đừng thư giãn. Một hacker có thể thực thi mã tùy ý trên một máy chủ dễ bị tổn thương với khả năng không giới hạn. Tất nhiên, một cuộc tấn công ransomware vào chủ sở hữu máy chủ có thể mang lại khá nhiều lợi nhuận, vì máy chủ có thể được sử dụng để khai thác bitcoin. Nhưng cũng có khả năng tin tặc có thể đột nhập vào máy chủ, khiến máy chủ đó phát tán phần mềm độc hại cho khách truy cập vào các trang web được lưu trữ trên máy chủ đó.
Tôi có thể làm gì?
Lỗ hổng Log4j chỉ là một trong nhiều lỗ hổng bảo mật bị kẻ tấn công khai thác. CISA liệt kê 20 lỗ hổng được tìm thấy chỉ trong tháng 12. Nếu quan sát kỹ, bạn sẽ thấy rằng một số trong số chúng đã được sửa chữa, nhưng một số khác đã không cần sửa chữa trong sáu tháng trở lên. Tất nhiên, sẽ có ít khả năng khai thác Log4j hơn.
Đối với việc bảo vệ chống lại Log4j ở phía máy chủ, nó rất đơn giản. Có một cài đặt xác định xem hệ thống ghi có thể diễn giải dữ liệu dưới dạng mã hay không. Tắt công tắc này đi. Tất nhiên, Apache đã phát hành một bản cập nhật cho mô-đun mã, nhưng một số nhà nghiên cứu báo cáo rằng thay đổi đáng kể duy nhất trong bản cập nhật là công tắc này bị tắt theo mặc định.
Như đã đề cập, Log4j là mã phía máy chủ và một cuộc tấn công khai thác sẽ ảnh hưởng đến máy chủ. Tuy nhiên, bạn có thể bị ảnh hưởng gián tiếp nếu tin tặc sử dụng nó để tắt một máy chủ quan trọng đối với bạn hoặc cố gắng sử dụng máy chủ để tải xuống ẩn hoặc các cuộc tấn công độc hại khác.
Không có gì người bạn có thể được thực hiện để tránh ảnh hưởng của việc ngừng hoạt động của máy chủ, nhưng bạn Có lẽ Bảo vệ bạn khỏi các cuộc tấn công thứ cấp này bằng cách cài đặt một công cụ chống vi-rút mạnh mẽ và luôn cập nhật công cụ này. Hãy thực hiện phần việc của mình bằng cách bảo vệ bản thân khỏi các nỗ lực lừa đảo bằng cách sử dụng trình quản lý mật khẩu và định tuyến lưu lượng truy cập internet của bạn thông qua mạng riêng ảo hoặc VPN. Giữ an toàn cho dữ liệu, thiết bị và kết nối của bạn có nghĩa là bạn sẽ không phải chịu hậu quả của cuộc tấn công khai thác Log4j.
Cảm ơn bạn đã đọc bài viết tại Cakhia TV trang web cập nhật link xem trực tiếp bóng đá lớn nhỏ trên khắp hành tinh, nơi bạn thoả mãn niềm đam mê với trái bóng. Chất lượng đường truyền trực tiếp ổn định, dàn bình luận viên chuyên nghiệp và sôi động, tốc độ cao, truyền tải nhanh nhất trong tất cả các trang web xem bóng đá online. Chần chờ gì nữa truy cập ngay Cà khịa TV để thưởng thức bóng đá đỉnh cao thôi !
