Jack Phillips
Một lỗ hổng bảo mật mới được phát hiện trong một nhu liệu mã nguồn mở phổ biến đang khiến các nhà nghiên cứu và các công ty phải cập nhật lại hệ thống của họ nhằm ngăn chặn các cuộc tấn công như lấy cắp thông tin và mã độc tống tiền.
Một số chuyên gia cho biết lỗ hổng này, gọi là CVE-2021-44228, được tiết lộ hôm 09/12, cho phép truy cập từ xa vào máy chủ và thực thi mã. Trong khi đó, nhu liệu Log4j được sử dụng trong một số lượng lớn các hệ thống doanh nghiệp, làm dấy lên mối lo ngại rằng nó có thể dễ dàng bị khai thác.
Kể từ khi lỗ hổng bảo mật này, mà một số người gọi là “Log4Shell,” được phổ biến và có khả năng xuất hiện trên các trang web và ứng dụng được truy cập nhiều, nên người dùng cũng có thể thấy các trang web và ứng dụng yêu thích của họ bị ảnh hưởng.
Các công ty an ninh mạng Mandiant và Crowdstrike nói rằng các nhóm tin tặc đang cố gắng xâm nhập vào các hệ thống, và công ty Mandiant đã mô tả với Reuters rằng họ là “các nhân tố thuộc chính phủ Trung Quốc,” ám chỉ Đảng Cộng sản Trung Quốc cầm quyền.
“Vì Log4j là một giải pháp ghi nhật ký phổ biến để phát triển Enterprise Java trong nhiều thập niên qua, nên Log4j có khả năng trở thành một lỗ hổng bảo mật sẽ tồn tại trong môi trường Hệ thống Kiểm soát Công nghiệp (ICS) trong nhiều năm tới,” theo một bài đăng trên blog của các nhà nghiên cứu an ninh mạng tại Dragos.
Tội phạm mạng có thể khai thác lỗ hổng này bằng cách gửi một chuỗi mã độc hại sẽ được ghi lại bằng phiên bản Log4j, cho phép kẻ tấn công tải một mã Java tùy ý vào một máy chủ. Lỗ hổng này có thể cho phép họ kiểm soát máy chủ đó.
Được biết các quan chức an ninh mạng liên bang cũng đưa ra cảnh báo về lỗ hổng bảo mật này trong những ngày gần đây.
“Lỗ hổng này là một trong những lỗ hổng nghiêm trọng nhất mà tôi từng thấy trong toàn bộ sự nghiệp của mình, nếu không muốn nói là nghiêm trọng nhất,” bà Jen Easterly, người đứng đầu Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), cho biết trong một cuộc điện đàm. The Epoch Times đã liên hệ với CISA để đưa ra bình luận.
Bà Easterly cảnh báo rằng CISA có thể “dự đoán lỗ hổng bảo mật này sẽ bị các tác nhân tinh vi khai thác rộng rãi và chúng ta có rất ít thời gian để thực hiện các bước cần thiết nhằm giảm khả năng xảy ra các sự cố thiệt hại.”
Một nhân tố cảnh báo sớm là khi các nhà nghiên cứu lưu ý rằng máy chủ của Minecraft có thể bị xâm nhập thông qua lỗ hổng bảo mật này. Tuần trước, Microsoft đã đăng hướng dẫn về cách người chơi có thể cập nhật phiên bản Java của trò chơi này.
“Việc khai thác này ảnh hưởng đến nhiều dịch vụ — bao gồm cả Minecraft Java Edition,” Microsoft cho biết. “Lỗ hổng này đưa đến một nguy cơ tiềm ẩn là máy tính của bạn [có thể] bị xâm nhập.”
Hôm thứ Sáu (10/12), trong một cảnh báo rõ ràng khác, Giám đốc Điều hành Cloudflare, ông Matthew Prince, đã viết rằng công ty của ông đã “xác định rằng Log4J quá nghiêm trọng nên theo mặc định, chúng tôi sẽ cố gắng khai triển ít nhất một số biện pháp bảo vệ cho tất cả khách hàng Cloudflare, ngay cả những khách hàng miễn phí không có [nhu liệu này] của chúng tôi. [Chúng tôi cũng] đang tìm ra cách thức để thực hiện điều đó một cách an toàn.”
Ông Free Wortley, Giám đốc Điều hành của nền tảng bảo mật dữ liệu nguồn mở LunaSec, đã viết trên trang web của mình vào tuần trước: “Đó là một thất bại trong thiết kế về quy mô thảm họa.”
Bàn về việc xem xét những dịch vụ nào có thể bị nhắm mục tiêu thông qua khai thác này, ông Wortley nói rằng “Các dịch vụ đám mây như Steam, Apple iCloud, và các ứng dụng như Minecraft” đã được phát hiện là dễ bị tấn công thông qua khai thác lỗ hổng bảo mật. “Bất kỳ ai sử dụng Apache Struts đều có thể bị tấn công. Trước đây, chúng tôi đã chứng kiến các lỗ hổng tương tự bị khai thác trong các vụ xâm nhập như vụ xâm nhập dữ liệu Equifax năm 2017,” ông nói, khi đề cập đến vụ lấy cắp thông tin đã công bố dữ liệu tín dụng của hàng triệu người.
Tuần trước, CISA cũng như cơ quan an ninh mạng của Úc đã đưa ra cảnh báo về lỗ hổng bảo mật này. Tổ chức Nhu liệu Apache đánh giá lỗ hổng bảo mật này là “nghiêm trọng” và đã công bố các cách để ứng phó với vấn đề này hôm thứ Sáu.
“Lúc này hệ thống Internet đang trong tình trạng báo động,” ông Adam Meyers, phó chủ tịch cao cấp của Crowdstrike đưa ra cảnh báo. “Mọi người đang gấp rút để khắc phục,” ông nói với The Associated Press, “[nhưng] đồng thời rất nhiều người cũng đang nhanh chóng tận dụng để khai thác nó.”
Ông Jack Phillips là một phóng viên tin tức thời sự của The Epoch Times tại New York.
Thanh Tâm biên dịch