Gần đây Chúng tôi đã bình luận về lỗi Log4J và trong ấn phẩm này, chúng tôi muốn chia sẻ thông tin đã được biết bởi các nhà nghiên cứuNhư Họ cho rằng tin tặc, bao gồm cả các nhóm được nhà nước Trung Quốc và Nga hỗ trợ, đã thực hiện hơn 840.000 cuộc tấn công. chống lại các công ty trên khắp thế giới kể từ thứ Sáu tuần trước thông qua lỗ hổng này.
Nhóm an ninh mạng Check Point cho biết các cuộc tấn công liên quan với lỗ hổng này đã tăng tốc trong 72 giờ kể từ thứ Sáu và có lúc các nhà nghiên cứu của nó chứng kiến hơn 100 cuộc tấn công mỗi phút.
Người biên tập cũng ghi nhận sự sáng tạo tuyệt vời trong việc chuyển thể đòn tấn công. Đôi khi hơn 60 biến thể mới xuất hiện trong vòng chưa đầy 24 giờ, giới thiệu các kỹ thuật mã hóa hoặc che giấu mới.
Theo Charles Carmakal, giám đốc công nghệ của công ty mạng Mandiant, những kẻ này bao gồm “những kẻ tấn công chính phủ Trung Quốc”.
Lỗ hổng Log4J cho phép kẻ tấn công chiếm quyền điều khiển từ xa các máy tính chạy ứng dụng Java.
Jen phục sinh, giám đốc Cơ quan An ninh Cơ sở hạ tầng và Mạng Hoa Kỳ (CISA), dijo tới các nhà điều hành ngành, những người tính dễ bị tổn thương là “một trong những vấn đề nghiêm trọng nhất mà tôi từng thấy trong toàn bộ sự nghiệp của mình, nếu không muốn nói là nghiêm trọng nhất,” theo truyền thông Mỹ. Ông cho biết hàng trăm triệu thiết bị có thể bị ảnh hưởng
Check Point cho biết trong nhiều trường hợp, tin tặc chiếm quyền điều khiển máy tính và sử dụng chúng để khai thác tiền điện tử hoặc trở thành một phần của botnet, với mạng lưới máy tính rộng lớn có thể được sử dụng để áp đảo lưu lượng truy cập trang web, gửi thư rác hoặc các mục đích bất hợp pháp khác.
Đối với Kaspersky, hầu hết các cuộc tấn công đều đến từ Nga.
CISA và Trung tâm An ninh mạng Quốc gia Anh đã đưa ra cảnh báo kêu gọi các tổ chức thực hiện cập nhật liên quan đến lỗ hổng Log4J, trong khi các chuyên gia cố gắng đánh giá hậu quả.
Amazon, Apple, IBM, Microsoft và Cisco nằm trong số những công ty gấp rút tung ra các bản sửa lỗi, nhưng chưa có vi phạm nghiêm trọng nào được báo cáo công khai cho đến nay.
Lỗ hổng này là lỗ hổng mới nhất ảnh hưởng đến mạng doanh nghiệp, sau khi các lỗ hổng xuất hiện trong năm qua trong phần mềm thường được sử dụng của Microsoft và công ty máy tính SolarWinds. Cả hai lỗ hổng này ban đầu được cho là đã được các nhóm gián điệp được nhà nước hậu thuẫn từ Trung Quốc và Nga khai thác.
Carmakal của Mandiant cho biết các tác nhân được nhà nước Trung Quốc hậu thuẫn cũng đang cố gắng khai thác lỗi Log4J, nhưng từ chối chia sẻ thêm thông tin chi tiết. Các nhà nghiên cứu của SentinelOne cũng nói với giới truyền thông rằng họ đã quan sát thấy tin tặc Trung Quốc khai thác lỗ hổng này.
CERT-FR khuyên bạn nên thực hiện phân tích kỹ lưỡng nhật ký mạng. Những lý do sau có thể được sử dụng để xác định nỗ lực khai thác lỗ hổng này khi được sử dụng trong URL hoặc tiêu đề HTTP nhất định làm tác nhân người dùng
Chúng tôi khuyên bạn nên sử dụng log2.15.0j phiên bản 4 càng sớm càng tốt. Tuy nhiên, trong trường hợp gặp khó khăn khi di chuyển sang phiên bản này, có thể tạm thời áp dụng các giải pháp sau:
Đối với các ứng dụng sử dụng phiên bản 2.7.0 trở lên của thư viện log4j, có thể bảo vệ khỏi bất kỳ cuộc tấn công nào bằng cách sửa đổi định dạng của các sự kiện sẽ được ghi lại với cú pháp% m {nolookups} cho dữ liệu mà người dùng sẽ cung cấp.
Theo Check Point, gần một nửa số cuộc tấn công được thực hiện bởi những kẻ tấn công mạng đã biết. Chúng bao gồm các nhóm sử dụng Tsunami và Mirai, phần mềm độc hại biến thiết bị thành mạng botnet hoặc mạng được sử dụng để khởi động các cuộc tấn công được điều khiển từ xa, chẳng hạn như tấn công từ chối dịch vụ. Nó cũng bao gồm các nhóm sử dụng XMRig, phần mềm khai thác tiền kỹ thuật số Monero.
Nicholas Sciberras, người đứng đầu bộ phận kỹ thuật của công ty quét lỗ hổng Acunetix, cho biết: “Với lỗ hổng này, kẻ tấn công có được sức mạnh gần như vô hạn: chúng có thể trích xuất dữ liệu nhạy cảm, tải tệp lên máy chủ, xóa dữ liệu, cài đặt ransomware hoặc chuyển sang máy chủ khác”. Ông nói, việc thực hiện một cuộc tấn công là “dễ dàng một cách đáng ngạc nhiên” và nói thêm rằng lỗ hổng này sẽ được “khai thác trong những tháng tới”.