Hướng dẫn - Cập nhật lần cuối 27/09/2022

Khai thác Log4j được gọi là Log4Shell hoặc CVE-2021-44228 theo một số, đã có trong tin tức trong vài tuần qua. Thật tệ! Nó ở mọi nơi! Nhưng thật sự nó là gì? Làm thế nào nó có được trên hàng triệu máy chủ? Và làm cách nào để bạn có thể tự bảo vệ mình khỏi hậu quả của lỗ hổng bảo mật này?

Nó không phải là dữ liệu, nó là mã!

Trung tâm của vấn đề Log4j là sự nhầm lẫn giữa dữ liệu đơn giản và các lệnh thực thi. Các mã độc hại đã khai thác sự nhầm lẫn này gần như mãi mãi.

Trong thời kỳ của virus máy tính chạy hệ điều hành DOS, các chương trình trên đĩa chỉ đơn giản là sao chép trực tiếp vào bộ nhớ và chạy. Các virus ban đầu tự thêm vào như một khối dữ liệu ở cuối chương trình chính. Bằng cách thay đổi một hoặc hai byte ở đầu chương trình, họ đã khiến DOS thực thi mã vi rút trước khi chạy chương trình. Và trong thời gian ngắn của nó, virus đã tham gia vào nhiều chương trình hơn.

Các chương trình Windows, được gọi là chương trình Portable Executable (PE), phức tạp hơn nhiều. Các khối thông tin khác nhau được tải vào vùng thích hợp của bộ nhớ và các khối này được đánh dấu là mã hoặc dữ liệu. Mặc dù vậy, những kẻ tấn công vẫn đang tiến hành các cuộc tấn công cưỡng bức tung ra thứ lẽ ra phải là dữ liệu. Các phiên bản Windows hiện đại sử dụng Ngăn chặn Thực thi Dữ liệu (DEP) và Ngẫu nhiên Đánh dấu Không gian Địa chỉ (ASLR) để ngăn chặn các cuộc tấn công như vậy.

Java và mã nguồn mở

Log4j được viết bằng Java, có nghĩa là nó vốn dĩ không có bảo mật như DEP và ASLR. Mặt khác, nó là một gói mã nguồn mở. Điều này có nghĩa là bất kỳ ai (tốt, bất kỳ ai có kỹ năng lập trình) đều có thể đọc mã nguồn, tìm lỗi và góp phần cải thiện gói.

Lý thuyết cho rằng mã nguồn mở an toàn hơn vì nó đã được nhiều nhóm nghiên cứu và bởi vì không có cách nào để ẩn một cửa sau hoặc bất kỳ tính năng không mong muốn nào khác trong mã. Khi thư viện liên quan rất nhạy cảm, có thể liên quan đến mã hóa, nó thực sự phải được giám sát nghiêm túc. Nhưng rõ ràng mô-đun ghi nhật ký đơn giản này đã không được chú ý đến như nó xứng đáng.

Tại sao nó ở khắp mọi nơi?

Khi có một lỗ hổng bảo mật trong hệ điều hành hoặc trình duyệt phổ biến, nó thường chỉ ảnh hưởng đến người dùng của hệ điều hành đó hoặc trình duyệt đó. Nhà xuất bản phát triển một phiên bản mới vá lỗ hổng, phát hành bản cập nhật và tất cả đều ổn.

Log4j thì khác. Nó không phải là một hệ điều hành, một trình duyệt hay thậm chí là một chương trình. Đúng hơn, nó là những gì người viết mã gọi là thư viện, gói hoặc mô-đun mã. Nó phục vụ một mục đích – ghi nhật ký những gì xảy ra trên máy chủ.

Những người viết mã muốn tập trung vào những gì làm cho chương trình của họ trở nên độc đáo. Họ không muốn phát minh lại bánh xe. Do đó, họ dựa vào các thư viện mã hiện có vô tận, chẳng hạn như Log4j. Mô-đun Log4j đến từ Apache, là phần mềm máy chủ web được sử dụng rộng rãi nhất. Và vì vậy nó có thể được tìm thấy trên hàng triệu máy chủ.

Nạn nhân ở đây là ai?

Đây là một điểm quan trọng. Các cuộc tấn công lỗ hổng trong Log4j: Không nhằm vào bạn. Tin tặc buộc anh ta phải ghi một dòng văn bản trở thành lệnh tìm cách cài đặt phần mềm độc hại trên máy chủ. Microsoft cho biết các tin tặc được nhà nước bảo trợ đang sử dụng nó, có khả năng phát tán ransomware. Apple, Cloudflare, Twitter, Valve và các công ty lớn khác bị ảnh hưởng.

Bạn có thể đã xem (hoặc xem) một video trên YouTube trong đó một nhà nghiên cứu bảo mật đã chứng minh việc tiếp quản máy chủ Minecraft bằng cách sử dụng trò chuyện trong trò chơi không hơn không kém. Điều này không có nghĩa là nó ảnh hưởng đến những người chơi tham gia trò chuyện. Vì vậy, nhà nghiên cứu đã thực hiện máy chủ để chạy mã tùy ý.

Được giới thiệu bởi các biên tập viên của chúng tôi

Nhưng đừng thư giãn. Một hacker có thể chạy mã tùy ý trên một máy chủ dễ bị tấn công có khả năng không giới hạn. Tất nhiên, một cuộc tấn công ransomware vào chủ sở hữu máy chủ có thể khá sinh lợi, cũng như việc sử dụng máy chủ để khai thác bitcoin. Nhưng cũng có thể tin tặc có thể đột nhập vào một máy chủ, khiến nó lây nhiễm phần mềm độc hại đến những khách truy cập vào các trang web được lưu trữ trên máy chủ đó.

Tôi có thể làm gì?

Việc khai thác Log4j chỉ là một trong nhiều lỗ hổng bảo mật bị những kẻ tấn công khai thác. CISA danh mục các lỗ hổng bị khai thác danh sách 20 được tìm thấy chỉ trong tháng mười hai. Nếu bạn quan sát kỹ, bạn sẽ thấy rằng một số trong số chúng đã được sửa chữa, nhưng một số khác có bản sửa chữa mà không cần thiết trong sáu tháng hoặc hơn. Tất nhiên, sẽ có ít người tiếp xúc với việc khai thác Log4j.

Đối với việc bảo vệ chống lại Log4j ở phía máy chủ, nó đơn giản đến mức nực cười. Có một cài đặt xác định liệu hệ thống ghi nhật ký có thể diễn giải dữ liệu dưới dạng mã hay không. Tắt công tắc này đi. Đương nhiên, Apache đã phát hành bản cập nhật cho mô-đun mã, nhưng một số nhà nghiên cứu báo cáo rằng thay đổi đáng kể duy nhất trong bản cập nhật là công tắc này bị tắt theo mặc định.

Như đã lưu ý, Log4j là mã được thiết kế cho các máy chủ và một cuộc tấn công khai thác sẽ ảnh hưởng đến các máy chủ. Tuy nhiên, bạn có thể bị ảnh hưởng gián tiếp nếu một hacker sử dụng nó để đóng một máy chủ quan trọng đối với bạn hoặc cố gắng sử dụng máy chủ để tải xuống ẩn hoặc các cuộc tấn công độc hại khác.

Không có gì bạn có thể được thực hiện để tránh ảnh hưởng của việc máy chủ ngừng hoạt động, nhưng bạn có lẽ Bảo vệ bạn khỏi các cuộc tấn công thứ cấp này bằng cách cài đặt tiện ích chống vi-rút mạnh mẽ và cập nhật tiện ích này. Thực hiện phần việc của bạn bằng cách đề phòng các âm mưu lừa đảo bằng cách sử dụng trình quản lý mật khẩu và chạy lưu lượng truy cập internet của bạn thông qua mạng riêng ảo hoặc VPN. Giữ an toàn cho dữ liệu, thiết bị và kết nối của riêng bạn có nghĩa là bạn không có khả năng phải chịu hậu quả của một cuộc tấn công khai thác Log4j.

4/5 - (1 vote)
Nội dung tương tự:

Cách phát hiện chuông báo cháy và các tiếng ồn khác bằng tính năng Nhận dạng âm thanh trong iOS 14

Hướng dẫn • 23/11/2022

Apple đã liên tục cải tiến iPhone và iPad với các tính năng trợ năng được thiết kế cho người khuyết tật. Một trong ...

Magatsu Wahrheit: Hướng dẫn mẹo chơi và Hệ thống nhân vật tốt nhất

Hướng dẫn • 22/09/2022

  Nội dung chính Hướng dẫn chơi Magatsu Wahrhei (1) Magatsu Wahrheit là một MMORPG trực tuyến, hiện đã có phiên bản tiếng Anh. ...

Cách cài đặt lại Fortnite trên iOS (iPhone) sau khi bị Apple gỡ bỏ

Hướng dẫn • 21/09/2022

Một vài ngày trước, Epic Games đã quyết định thêm tùy chọn mua hàng trực tiếp trong ứng dụng trong Fortnite dành cho thiết ...

Tại sao Instagram của bạn liên tục bị lỗi? Cách khắc phục

Hướng dẫn • 23/09/2022

Instagram, với tư cách là mạng xã hội lớn thứ sáu trên thế giới, ngày càng trở nên phức tạp và khó hiểu hơn ...