cảnh báo: lỗ hổng rce nghiêm trọng trong log4j2

Marc Laliberte, secplicity.org

Hôm thứ Năm, các nhà nghiên cứu bảo mật đã tiết lộ một lỗ hổng thực thi mã từ xa (RCE) quan trọng, chưa được xác thực trong log4j2, một thư viện ghi nhật ký phổ biến và được sử dụng rộng rãi cho các ứng dụng java. Điểm CVE-2021-44228 là 10.0 đầy đủ trên hệ thống tính điểm lỗ hổng CVSS do sự kết hợp giữa mức độ khai thác tầm thường và tác động gây hại. Tất cả các phiên bản của log4j2 đều dễ bị tấn công ở các mức độ khác nhau với một số phiên bản (2.10> và <= 2.14.1) có tùy chọn tắt chức năng dễ bị tấn công và phiên bản mới nhất (2.15.0) đi kèm với nó bị tắt theo mặc định.

Lỗ hổng bảo mật liên quan đến việc log4j2 xử lý các tài nguyên Java Naming và Directory Interface (JNDI). JNDI là một API Naming trong Java cho phép các ứng dụng định vị tài nguyên và đối tượng bằng một chỉ mục đặt tên. Giống như DNS trên mạng phân giải tên máy chủ thành địa chỉ IP, JNDI phân giải tên đối tượng thành một đối tượng. Là một phần của việc hỗ trợ thêm cho tra cứu JNDI, log4j2 nội suy các thông báo nhật ký và cố gắng tra cứu bất kỳ tài nguyên JNDI nào. Tóm lại, kẻ tấn công có quyền kiểm soát một chuỗi được chuyển đến trình ghi log4j2 có thể lừa ứng dụng yêu cầu tra cứu LDAP và lấy tài nguyên khỏi máy chủ dưới sự kiểm soát của chúng, tải nó và thực thi nó.

Trong honeynet của WatchGuard Threat Lab, chúng tôi đã thấy những kẻ tấn công đang thăm dò các honeypots và cố gắng khai thác lỗ hổng bảo mật trên các ứng dụng ghi lại chuỗi User-Agent trong các yêu cầu HTTP. Ví dụ dưới đây cuối cùng cố gắng tải một công cụ khai thác mật mã khi nó tìm thấy một hệ thống dễ bị tấn công.



Bất kỳ ai duy trì ứng dụng Java sử dụng log4j2 phải ngay lập tức cập nhật lên 2.15.0 và / hoặc đảm bảo rằng tra cứu JNDI bị tắt bằng cách đặt cờ JVM “log4j2.formatMsgNoLookups” thành “true” để giảm thiểu lỗ hổng bảo mật. Có các biện pháp giảm nhẹ bổ sung một phần tùy thuộc vào phiên bản JDK bạn đang chạy. Ví dụ: các phiên bản JDK lớn hơn 6u11, 7u201, 8u191 và 11.0.1 không bị ảnh hưởng bởi vectơ tấn công LDAP nhưng vẫn có thể bị tấn công bằng cách tải các lớp trong ứng dụng.

Nếu bạn là khách hàng của WatchGuard, thì tất cả Firebox, WatchGuard System Manager, Dimension, WatchGuard EPDR và Panda AD360 đều không bị ảnh hưởng. Một số thành phần WatchGuard Cloud bao gồm Phát hiện và phản hồi mối đe dọa và AuthPoint đang chạy phiên bản log4j2 dễ bị tấn công, nhưng sử dụng phiên bản JVM an toàn hơn, không dễ bị tấn bởi LDAP, mức độ thông thường và nhỏ. Chúng tôi đã cập nhật các thành phần này một cách thận trọng. Chúng tôi đang tiếp tục điều tra nội bộ để biết thêm bất kỳ tác động tiềm ẩn nào.

Giải pháp tường lửa thông minh của WatchGuard được xây dựng theo cấu trúc đa lớp, phân tầng kết hợp trí thông minh nhân tạo và máy học giúp kiểm soát và ngăn chặn tối đa các tác nhân gây hại cho hệ thống mạng một cách tự động. Kết hợp phiên bản end-point Panda Adaptive Defense 360 bảo vệ máy tính người dùng khõi các phần mềm độc hại gia tăng thêm khả năng chống chọi với các mối đe dọa ngày càng tăng.

Hơn nữa, tích hợp các công nghệ bảo mật hàng đầu trong một giải pháp duy nhất mang lại sự trải nghiệm tối ưu về mặt sử dụng và chi phí đầu tư.

Hỗ trợ các nền tảng từ phần cứng, ảo hóa đến cloud mang lại sự linh hoạt cho nhiều loại hình dịch vụ.

Nền tảng xác thực đa lớp MFA thông qua mobile là một bước tiến nổi bật của WatchGuard không chỉ giúp đảm bảo an toàn cho tài khoản người dùng khi sử dụng dịch vụ cloud, đăng nhập máy tính, kết nối VPN và nhiều dịch vụ khác.





Nhà phân phối giải pháp Firewall WatchGuard:

ITMAP ASIA JSC

555 Trần Hưng Đạo, P. Cầu Kho, Q.1, TP.HCM

Email: info@itmapasia.com

Đt: 028 5404 0717 - 5404 0799

Critical RCE Vulnerability in Log4J2