Lỗ hổng an ninh mạng Log4j, vốn được báo cáo lần đầu tiên bởi một nhân viên anh ninh mạng thuộc tập đoàn Alibaba, là một phần mềm được viết bằng ngôn ngữ Java. Có rất nhiều tập đoàn lớn trên thế giới sử dụng phầm mềm này để cấu hình ứng dụng của mình. Cùng với cơ chế mà hệ sinh thái Java vận hành, điều này có thể dẫn tới sự ảnh hưởng lên toàn bộ Internet.
Log4j là gì?
Log4j là một trong những trình ghi nhật ký trên nền tảng Java phổ biến nhất hiện nay. Các nhà phát triển phần mềm sẽ sử dụng Log4j để lưu trữ lại các hoạt động nhằm sử dụng cho nhiều mục đích khác nhau như phát hiện sự cố, kiểm toán và theo dõi dữ liệu. Do ứng dụng này sử dụng mã nguồn mở và hoàn toàn miễn phí, về cơ bản nó gần như đã chạm đến mọi ngõ ngách trên Internet.
Chris Eng, giám đốc nghiên cứu tại công ty an ninh mạng Veracode nhận định: "Log4j phổ biến ở khắp mọi nơi. Ngay cả khi bạn là một nhà phát triển không trực tiếp sử dụng Log4j, bạn vẫn có thể đang sử dụng mã dễ bị tấn công do một trong những thư viện mã nguồn mở mà bạn sử dụng phụ thuộc vào Log4j". Đây chính là bản chất của phần mềm khi mọi thứ đều có liên quan đến nhau.
Các tập đoàn khổng lồ như IBM, Oracle, Cisco, Google và Amazon đều chạy phần mềm này. Dịch vụ điện toán đám mây của Apple, công ty bảo mật Cloudflare và Minecraft, một trong những game phổ biến nhất trên thế giới, cũng là những cái tên nằm trong số các công ty sử dụng Log4j. Phần mềm này còn xuất hiện trong nhiều ứng dụng và trang web nổi tiếng. Do đó, hàng trăm triệu thiết bị trên khắp thế giới truy cập các dịch vụ này có thể bị ảnh hưởng bởi lỗ hổng bảo mật.
Các chuyên gia đặc biệt lo ngại về lỗ hổng này do tin tặc có thể dễ dàng truy cập vào máy chủ của công ty và từ đó xâm nhập tiếp vào các bộ phận khác của mạng. Hơn nữa, việc phát hiện ra lỗi bảo mật hay phát hiện ra mạng của công ty đã bị xâm nhập cũng rất khó.
Hơn nữa, vào cuối ngày 14/12, một lỗ hổng thứ hai trong hệ thống của Log4j đã được tìm thấy. Apache Software Foundation, tổ chức phi lợi nhuận phát triển Log4j cùng nhiều phần mềm mã nguồn mở khác, đã nhanh chóng phát hành bản sửa lỗi bảo mật cho các tổ chức sau đó.
David Kennedy, Giám đốc điều hành của công ty an ninh mạng TrustedSec cho biết: “Sẽ tốn hàng năm trời để giải quyết vấn đề bảo mật này, trong khi các tin tặc thì sẽ tấn công hàng ngày”.
Các tin tặc đang làm gì?
Theo công ty an ninh mạng Cloudflare, các tin tặc có vẻ đã bắt đầu tấn công vào lỗ hổng này trước cả khi nó được chính thức tiết lộ vào tuần trước. Với số lượng các nỗ lực hack xảy ra ngày càng nhiều mỗi ngày, một số người lo lắng rằng điều tồi tệ nhất vẫn chưa xảy ra.
Mark Ostrowski, người đứng đầu bộ phận kỹ thuật của Check Point, cho biết: “Những kẻ đe dọa tinh vi hơn, cao cấp hơn sẽ tìm ra cách lợi dụng lỗ hổng bảo mật này để thu được lợi nhuận lớn nhất”.
Vào ngày 14/12, Microsoft cập nhật rằng các tin tặc từ Trung Quốc, Iran, Triều Tiên và Thổ Nhĩ Kỳ đã cố gắng khai thác lỗ hổng Log4j.
Jen Easterly, người đứng đầu Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) thuộc Bộ An ninh Nội vụ Mỹ, nhận định lỗ hổng này là "một trong những lỗi bảo mật nghiêm trọng nhất" trong sự nghiệp của bà. Bà cũng cho biết thêm hiện tại đang có ngày càng nhiều tin tặc chủ động tấn công vào lỗi này. Theo dữ liệu từ công ty an ninh mạng Check Point, tính đến 14/12, cứ mỗi phút lại có 100 các cuộc tấn công mạng xảy ra.
Cuộc chạy đua vá lỗi
Tuần trước, Minecraft đã thông báo về một lỗ hổng bảo mật được phát hiện trong một phiên bản trò chơi của hãng. Sau đó, bản cập nhật sửa lỗi cũng nhanh chóng được đưa ra. Các công ty khác cũng lần lượt thực hiện các động thái tương tự.
Các tập đoàn lớn bao gồm IBM, Oracle, Amazon Web Services và Cloudflare đều đã đưa ra lời khuyên cho khách hàng. Một số còn thúc đẩy các bản cập nhật bảo mật hoặc vạch ra các kế hoạch vá lỗi bảo mật trong tương lai.
Ông David Kennedy cho biết dù Log4j là một lỗi nghiêm trọng, việc vá lỗi sẽ không thể xảy ra như cách vá lỗi các lỗ hổng bảo mật truyền thống. Việc này sẽ đòi hỏi rất nhiều thời gian và công sức.
Nhằm mục đích minh bạch và giúp giảm thiểu thông tin sai lệch, CISA cho biết sẽ thiết lập một trang web công khai để cập nhật về các mềm bị ảnh hưởng bởi lỗ hổng Log4j và cách tin tặc khai thác chúng.
Chính phủ Mỹ cũng đã đưa ra cảnh báo tới các công ty bị ảnh hưởng. Cụ thể, trong thời gian tới, đặc biệt là trong các dịp nghỉ lễ, những công ty này cần nâng cao cảnh giác với các vụ tấn công mạng và các phần mềm tống tiền.
Tuy nhiên, điều đáng lo ngại nhất ở đây trong bối cảnh các tin tặc có thể sẽ tìm ra những cách tấn công mới không phải các công ty công nghệ. Các tổ chức không có nhiều ngân sách và tài lực cho việc bảo đảm an ninh mạng mới là những nơi dễ bị tấn công.
Katie Nickels, Giám đốc tại công ty an ninh mạng Red Canary cho biết: “Điều tôi quan ngại nhất hiện tại là các trường học, bệnh viện và các tổ chức mà nhân viên IT tại đó không có thời gian, công cụ và cả ngân sách cần thiết”.
