Lỗ hổng bảo mật nghiêm trọng nhất thập kỷ Apache Log4j nguy hiểm ra sao?

Trên website chính thức, Microsoft cho biết các nhóm nghiên cứu của công ty đã nhận ra nhiều cuộc tấn công vận dụng lỗ hổng bảo mật Apache Log4j2, hay Log4Shell. Công ty cho biết các nhóm hacker liên quan đến từ Trung Quốc, Iran và Thổ Nhĩ Kỳ đã tận dụng lỗ hổng này.

Ngoài Microsoft, công ty nghiên cứu bảo mật Mandiant cũng cho biết họ thấy các cuộc tấn công có nguồn gốc từ Trung Quốc, Iran. Mandiant cảnh báo mức độ nghiêm trọng của lỗ hổng Log4Shell có thể dẫn tới những vụ tấn công trong nhiều năm tới.

Microsoft cho biết nhóm hacker Trung Quốc đang khai thác Log4Shell cũng chính là nhóm từng tấn công dịch vụ Microsoft Exchange của công ty này vào đầu năm nay. 

Theo Wall Street Journal, Đại sứ Trung Quốc tại Mỹ cho biết nước này phản đối mọi hình thức tấn công mạng, đồng thời nhấn mạnh lỗ hổng Log4Shell được một công ty bảo mật Trung Quốc tìm ra.

Log4Shell được coi là lỗ hổng bảo mật nghiêm trọng nhất thập kỷ. Theo công ty an ninh mạng Check Point, các cuộc tấn công lợi dụng Log4Shell tăng đột biến trong tuần này, cao điểm hơn 100 đợt tấn công được thực hiện mỗi phút. Công ty này cho biết kể từ khi được biết tới, họ đã ghi nhận 1,8 triệu cuộc tấn công khai thác Log4Shell.

Cục An ninh và Hạ tầng mạng của Chính phủ Mỹ (CISA) cho biết, Log4Shell đã được đưa vào danh sách những lỗ hổng mà các cơ quan chính phủ buộc phải khắc phục.

Log4Shell sử dụng thư viện ghi log trong Java, tồn tại trong rất nhiều phần mềm doanh nghiệp và mã nguồn mở. Do thư viện ghi log miễn phí nó được sử dụng rất phổ biến, nhưng lại ít được cập nhật bảo mật. Những công ty sử dụng Apache Log4j phải tự cập nhật bản vá.

"Quá trình này có thể mất vài giờ, vài ngày, thậm chí vài tháng tùy vào doanh nghiệp", John Clay, Phó chủ tịch công ty bảo mật Trend Micro nhận định.

Trong nhiều trường hợp, hacker chiếm được quyền kiểm soát máy tính của nạn nhân để khai thác tiền điện tử hoặc lợi dụng làm botnet - mạng lưới máy tính "ma" dùng để tấn công các website, gửi thư rác hoặc cho các mục đích bất hợp pháp khác.

Tạp chí Wired trích lời chuyên gia bảo mật độc lập Chris Frohoff rằng lỗ hổng trong Log4j sẽ ám ảnh Internet trong nhiều năm. Hàng loạt công ty công nghệ lớn như Amazon Web Services, Microsoft, Cisco, Google và IBM đều phát hiện ít nhất một dịch vụ của họ nằm trong diện bị ảnh hưởng và đã nhanh chóng tung ra bản vá. Tuy nhiên, còn nhiều tổ chức và nhà phát triển nhỏ hơn có thể đang thiếu nguồn lực và nhận thức về lỗ hổng nên sẽ chậm trễ trong việc đối phó với mối đe dọa Log4Shell.

Một số công ty an ninh mạng thậm chí cho rằng Log4Shell có thể đã tồn tại từ năm 2013 nhưng không được chú ý. Còn Matthew Prince, CEO Cloudflare, nói rằng lỗ hổng đã có dấu hiệu bị khai thác từ ngày 1/12.

Tại Việt Nam, Cục An toàn thông tin - Bộ Thông tin và Truyền thông cũng đưa ra cảnh báo lỗ hổng có thể gây ảnh hưởng đến nhiều hệ thống thông tin trong nước. Cục khuyến cáo các đơn vị kiểm tra, rà soát hệ thống thông tin có sử dụng Apache Log4j và cập nhật phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục.

An Dương (T/h)