mục lục
Tín dụng Getty Images
Tuần trước, Cơ quan An ninh mạng và Cơ sở hạ tầng ( CISA ) đã đưa ra một cảnh báo thông báo cho các tổ chức rằng các tác nhân đe dọa độc hại đang tiếp tục khai thác lỗ hổng zero-day Log4Shell trong VMware Horizon và Unified Access Gateway (UAG) để có được quyền truy cập ban đầu vào các hệ thống mục tiêu mà không cần các bản vá cần thiết.
Trong báo cáo, CISA khuyến nghị tất cả các tổ chức có hệ thống bị ảnh hưởng chưa triển khai các bản vá lỗi “giả sử thỏa hiệp và bắt đầu các hoạt động săn lùng mối đe dọa ”.
Trên hết, thông báo nhấn mạnh rằng các doanh nghiệp chưa vá Log4Shell vẫn có nguy cơ và ít nhất, cần phải triển khai các bản vá có sẵn cho hệ thống của họ, nếu không thực hiện các bước để khắc phục sự xâm nhập.
Nhìn lại lịch sử của Log4Shell
Nhóm bảo mật đám mây của Alibaba lần đầu tiên phát hiện và báo cáo lỗ hổng Log4Shell cho Apache vào ngày 24 tháng 11 năm 2021.
Các nhà nghiên cứu ban đầu nhận thấy những kẻ tấn công sử dụng một khai thác trong Apache Log4j 2, một thư viện mã nguồn mở ghi lại các lỗi và sự kiện trong các ứng dụng Java, để thực thi mã độc hại từ xa tới các máy chủ và máy khách chạy Minecraft .
Trong khi Apache vá lỗ hổng vào ngày 9 tháng 12 năm 2021, Log4Shell đã nổi tiếng là một lỗ hổng zero-day nghiêm trọng, mà các nhà bình luận cảnh báo sẽ “tàn phá internet trong nhiều năm tới” với ước tính khoảng 3 tỷ thiết bị có thể khai thác .
Khi sự công khai ngày càng tăng về lỗ hổng bảo mật, các tác nhân đe dọa bắt đầu hướng các cuộc tấn công vào các doanh nghiệp trên toàn thế giới, với việc Microsoft tìm ra giải pháp nâng cao trong các kỹ thuật bao gồm quét hàng loạt, khai thác tiền xu, thiết lập shell từ xa và hoạt động nhóm đỏ.
Kể từ đó, việc khai thác đã làm giảm niềm tin vào phần mềm đám mây của bên thứ ba, đến mức 95% các nhà lãnh đạo CNTT báo cáo rằng Log4Shell là một lời cảnh tỉnh lớn cho bảo mật đám mây. Ngoài ra, 87% báo cáo rằng họ cảm thấy thiếu tự tin hơn về bảo mật đám mây của mình bây giờ so với trước khi sự cố xảy ra.
Nhiều gói phần mềm bị ảnh hưởng vẫn chưa được vá
Mặc dù đã nhiều tháng kể từ khi Log4Shell lần đầu tiên được phát hiện và nhiều tổ chức đã triển khai các lỗ hổng bảo mật cần thiết để bảo vệ hệ thống của họ, nhưng hầu hết thì không. Trên thực tế, vào tháng 4 năm nay, một báo cáo của Rezilion cho thấy gần 60% gói phần mềm Log4Shell bị ảnh hưởng vẫn chưa được vá.
Cảnh báo gần đây của CISA nhấn mạnh rằng việc không vá được các hệ thống này có thể là một sự giám sát tốn kém, do các tác nhân đe dọa vẫn đang tích cực tìm kiếm các hệ thống chưa được vá để khai thác.
Cách duy nhất để giảm thiểu các mối đe dọa zero-day này là các doanh nghiệp phải thực hiện một kế hoạch vá lỗi có tổ chức, để đảm bảo rằng mọi máy chủ sử dụng internet đều được vá và bảo vệ.
“Việc vá lỗi là một phần quan trọng trong kế hoạch bảo mật của bất kỳ tổ chức nào và các thiết bị được kết nối với internet trong khi chưa được vá – đặc biệt là chống lại một lỗ hổng nổi tiếng và bị khai thác – tạo ra rủi ro nghiêm trọng cho các tổ chức và khách hàng của họ,” Erich Kron, người ủng hộ nhận thức về bảo mật cho biết với KnowBe4 . “Mặc dù việc vá lỗi có thể là một thách thức và thậm chí có thể gây ra nguy cơ ngừng hoạt động thực sự nếu có vấn đề, nhưng bất kỳ tổ chức nào có thiết bị kết nối internet nên có hệ thống và thử nghiệm để giảm rủi ro đáng kể.”
Các tác động bảo mật của việc không vá được log4j
Ở giai đoạn này trong vòng đời của lỗ hổng bảo mật, việc không vá được các hệ thống bị lộ là một sai lầm nghiêm trọng cho thấy một tổ chức có những lỗ hổng đáng kể trong chiến lược bảo mật hiện có của mình.
“Các bản vá cho các phiên bản Log4j dễ bị tấn công bởi Log4Shell đã có từ tháng 12. Điều này bao gồm các bản vá cho các sản phẩm VMware, ”Tim Mackey, chiến lược gia bảo mật chính của Trung tâm Nghiên cứu An ninh mạng Synopsys cho biết. “Thật không may, các tổ chức chưa vá Log4j hoặc VMware Horizon thiếu chiến lược quản lý bản vá mạnh mẽ, có thể là chiến lược thương mại hoặc mã nguồn mở hoặc có các trường hợp triển khai bóng tối.”
Mackey cũng nhấn mạnh rằng trong khi sử dụng phương tiện truyền thông để khuyến khích các tổ chức vá các lỗ hổng bảo mật mới có thể có hiệu quả, nó không thể thay thế cho việc chủ động theo dõi các hoạt động khai thác.
Xem xét các giải pháp
Mặc dù việc vá các lỗ hổng bảo mật thường dễ dàng hơn so với việc thực hiện trong các môi trường mạng hiện đại phức tạp, nhưng ngày càng có nhiều giải pháp quản lý bản vá mà các tổ chức có thể sử dụng để đẩy các bản vá đến nhiều thiết bị từ xa và hiệu quả.
Nhiều tổ chức đã và đang sử dụng các giải pháp quản lý bản vá để cập nhật thiết bị của họ, với các nhà nghiên cứu dự đoán rằng thị trường quản lý bản vá toàn cầu sẽ tăng từ giá trị 652 triệu đô la vào năm 2022, đạt mức định giá 1084 triệu đô la vào năm 2027.
Để giải quyết lỗ hổng Log4Shell ở cấp độ chi tiết hơn, các doanh nghiệp có thể tận dụng các công cụ quét lỗ hổng như PortSwigger BurpSuite Pro , Nmap và Trình kiểm tra lỗ hổng bảo mật Log4J của TrendMicro để xác định các tệp bị lộ để họ có thể thực hiện hành động khắc phục chúng.
Cũng cần lưu ý rằng các nhà cung cấp công nghệ nổi tiếng như Microsoft và Google đã triển khai các giải pháp độc quyền của riêng họ để giúp các doanh nghiệp xác định và giảm thiểu Log4j.
Microsoft đã mở rộng Microsoft Defender để nó có thể quét các thiết bị để tìm các tệp Log4j có lỗ hổng. Google Cloud cung cấp tính năng Ghi nhật ký qua đám mây để cho phép các doanh nghiệp truy vấn nhật ký để tìm cách khai thác Log4j 2 và đưa ra cảnh báo để thông báo cho họ khi thông báo khai thác được ghi vào nhật ký.
Bằng cách kết hợp các giải pháp quản lý bản vá với tính năng quét lỗ hổng chủ động, các tổ chức có thể xác định một cách nhất quán cơ sở hạ tầng bị xâm phạm và khai thác như Log4j trước khi kẻ tấn công có cơ hội khai thác chúng.
nguồn venturebeat
English