DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Hacker tích cực khai thác lỗ hổng Log4Shell để triển khai phần mềm độc hại
Theo dữ liệu của Check Point, gần một nửa hệ thống mạng trên toàn cầu đang bị tin tặc tích cực dò quét để tìm kiếm và khai thác lỗ hổng thực thi mã từ xa nghiêm trọng trong Apache Log4j2 (CVE-2021-44228).
Theo quan sát của công ty, hacker đã cố gắng khai thác 46,2% mạng công ty ở Úc và New Zealand, 42,4% ở châu Âu, 41,8% ở châu Mỹ Latinh, 41,4% ở châu Phi, 37,7% ở châu Á và 36,4% ở Bắc Mỹ. Ở Anh, 37% mạng công ty đã từng bị dò quét bởi tin tặc, trong khi đó, ở Ireland, con số này tăng lên 49%.
Hacker nhắm mục tiêu chủ yếu đến các công ty công nghệ thông tin với lượng khách hàng lớn, tiếp theo đó là các tổ chức trong lĩnh vực giáo dục và nghiên cứu, các đơn vị tư vấn và các nhà cung cấp dịch vụ được quản lý. Các tổ chức vận tải, giải trí và khách sạn, bán lại và bán buôn bị ảnh hưởng ít hơn.
Chỉ sau 3 ngày sau khi CVE-2021-44228 được công khai, Check Point đã ngăn chặn hơn 846.000 nỗ lực khai thác lỗ hổng Log4Shell, 46% trong số đó được thực hiện bởi các nhóm độc hại đã được biết đến trước đó.
Nhóm nghiên cứu của Check Point mô tả Log4Shell là một lỗi cực kỳ nguy hại, lây lan như cháy rừng, đồng thời có rất nhiều cách khác nhau để khai thác, điều này gây khó khăn cho hệ thống bảo mật để phát hiện và ngăn chặn. Nhóm nghiên cứu cho biết, việc khai thác lỗ hổng vẫn chưa đạt đến đỉnh điểm.
Giám đốc nghiên cứu tình báo Lotem Finkelsteen của Check Point cho biết: "Xuất hiện rất nhiều cách thức và biến thể mới của việc khai thác, với hơn 60 trong vòng chưa đầy 24 giờ."
"Những cách thức mới mang lại cho hacker nhiều lựa chọn thay thế để vượt qua các biện pháp bảo vệ. Điều đó có nghĩa là một lớp bảo vệ là không đủ và cần triển khai các biện pháp an ninh nhiều lớp mới có thể cung cấp một lớp bảo vệ chắc chắn.
Do việc vá lỗ hổng khá phức tạp, trong khi việc khai thác lại rất dễ dàng, lỗ hổng sẽ còn bị khai thác trong nhiều năm tới, trừ khi các công ty và dịch vụ có hành động ngay lập tức để ngăn chặn các cuộc tấn công vào sản phẩm của họ."
Check Point cũng chia sẻ chi tiết về một số cuộc tấn công trong thực tế liên quan đến lỗ hổng này. Tin tặc cố gắng để triển khai backdoor, mở rộng mạng botnet, triển khai các công cụ đào tiền mã hóa bất hợp pháp... Muhstik được phát hiện là mạng botnet đầu tiên được tạo có liên quan đến lỗi CVE-2021-44228.
Ngoài ra, Log4Shell cũng được sử dụng để triển khai trojan truy cập từ xa (Rats), reverse bash shell để phục vụ các cuộc tấn công trong tương lai, cũng như sự xuất hiện của một họ ransomware mới, mang tên Khonsari và là nhắm mục tiêu các hệ thống chạy Windows.
Do mức độ và hậu quả rất nghiêm trọng của lỗ hổng, các quản trị viên hệ thống mạng nên kiểm tra, rà soát để đánh giá và triển khai các biện pháp an ninh phù hợp.
Theo quan sát của công ty, hacker đã cố gắng khai thác 46,2% mạng công ty ở Úc và New Zealand, 42,4% ở châu Âu, 41,8% ở châu Mỹ Latinh, 41,4% ở châu Phi, 37,7% ở châu Á và 36,4% ở Bắc Mỹ. Ở Anh, 37% mạng công ty đã từng bị dò quét bởi tin tặc, trong khi đó, ở Ireland, con số này tăng lên 49%.
Hacker nhắm mục tiêu chủ yếu đến các công ty công nghệ thông tin với lượng khách hàng lớn, tiếp theo đó là các tổ chức trong lĩnh vực giáo dục và nghiên cứu, các đơn vị tư vấn và các nhà cung cấp dịch vụ được quản lý. Các tổ chức vận tải, giải trí và khách sạn, bán lại và bán buôn bị ảnh hưởng ít hơn.
Chỉ sau 3 ngày sau khi CVE-2021-44228 được công khai, Check Point đã ngăn chặn hơn 846.000 nỗ lực khai thác lỗ hổng Log4Shell, 46% trong số đó được thực hiện bởi các nhóm độc hại đã được biết đến trước đó.
Nhóm nghiên cứu của Check Point mô tả Log4Shell là một lỗi cực kỳ nguy hại, lây lan như cháy rừng, đồng thời có rất nhiều cách khác nhau để khai thác, điều này gây khó khăn cho hệ thống bảo mật để phát hiện và ngăn chặn. Nhóm nghiên cứu cho biết, việc khai thác lỗ hổng vẫn chưa đạt đến đỉnh điểm.
Giám đốc nghiên cứu tình báo Lotem Finkelsteen của Check Point cho biết: "Xuất hiện rất nhiều cách thức và biến thể mới của việc khai thác, với hơn 60 trong vòng chưa đầy 24 giờ."
"Những cách thức mới mang lại cho hacker nhiều lựa chọn thay thế để vượt qua các biện pháp bảo vệ. Điều đó có nghĩa là một lớp bảo vệ là không đủ và cần triển khai các biện pháp an ninh nhiều lớp mới có thể cung cấp một lớp bảo vệ chắc chắn.
Do việc vá lỗ hổng khá phức tạp, trong khi việc khai thác lại rất dễ dàng, lỗ hổng sẽ còn bị khai thác trong nhiều năm tới, trừ khi các công ty và dịch vụ có hành động ngay lập tức để ngăn chặn các cuộc tấn công vào sản phẩm của họ."
Check Point cũng chia sẻ chi tiết về một số cuộc tấn công trong thực tế liên quan đến lỗ hổng này. Tin tặc cố gắng để triển khai backdoor, mở rộng mạng botnet, triển khai các công cụ đào tiền mã hóa bất hợp pháp... Muhstik được phát hiện là mạng botnet đầu tiên được tạo có liên quan đến lỗi CVE-2021-44228.
Ngoài ra, Log4Shell cũng được sử dụng để triển khai trojan truy cập từ xa (Rats), reverse bash shell để phục vụ các cuộc tấn công trong tương lai, cũng như sự xuất hiện của một họ ransomware mới, mang tên Khonsari và là nhắm mục tiêu các hệ thống chạy Windows.
Do mức độ và hậu quả rất nghiêm trọng của lỗ hổng, các quản trị viên hệ thống mạng nên kiểm tra, rà soát để đánh giá và triển khai các biện pháp an ninh phù hợp.
Theo: computerweekly
Chỉnh sửa lần cuối bởi người điều hành: