Lỗi Log4j mở ra một vấn đề lớn: Tài trợ cho các dự án mã nguồn mở
Hàng loạt máy chủ Apple, Twitter, Steam, Tesla, and Oracle gặp nguy hiểm
Bài viết được cập nhật vào ngày 14 tháng 12 năm 2021: Chúng tôi đã cập nhật bài viết này với thông tin về việc phát hành phiên bản Log4j mới, cùng với các lỗ hổng mới và những rủi ro liên quan đến tất cả các phiên bản Java.
Trong khi bạn đang thoải mái tận hưởng trận đấu quyết định ngôi vị F1 giữa Max Verstappen và Lewis Hamilton hay hào hứng với đêm chung kết thì các công ty điều hành internet đang gặp phải một rắc rối lớn.
Có thể bạn không nhận thấy điều đó vì các dịch vụ như Twitter, Facebook, Gmail và các dịch vụ nhỏ hơn vẫn đang hoạt động bình thường. Nhưng một lỗi trong công nghệ mã nguồn mở có tên Log4j đã và đang gây ra sự hoảng loạn trong cộng đồng bảo mật thông tin trên toàn thế giới.
Trong khi lỗi này ảnh hưởng đến hàng tỷ thiết bị và các công ty đang tranh giành nhau để áp dụng các bản sửa lỗi, cộng đồng mã nguồn mở vẫn đang diễn ra một cuộc tranh luận gay gắt về việc tài trợ cho các tình nguyện viên duy trì các dự án như Log4j.
Trước khi đi sâu vào vấn đề tài trợ, sau đây chúng tôi sẽ cung cấp những thông tin cơ bản ngắn gọn về công nghệ và sự cố này.
Log4j là gì?
Log4j 2 là một framework mã nguồn mở ghi log dựa trên ngôn ngữ Java nằm trong các dịch vụ của Apache Foundation, vì vậy bất kỳ ai cũng có thể sử dụng miễn phí. Phần mềm ghi log được các công ty sử dụng để theo dõi hoạt động trên máy chủ của họ (hoặc thậm chí là các ứng dụng phía máy người dùng).
Ví dụ: khi bạn truy cập một trang web, địa chỉ IP của bạn, trình duyệt của bạn và các trang bạn truy cập được lưu lại bởi logger (trình ghi log). Dữ liệu liên quan đến hoạt động này có thể giúp các công ty giải quyết mọi vấn đề với dịch vụ của họ.
Vì thư viện dựa trên Java nên hàng tỷ thiết bị được hỗ trợ bởi framework này có khả năng gặp rủi ro.
Lỗi Log4j là gì?
Tuần trước, một lỗi được định danh là CVE-2021-44228 đã cho phép những kẻ tấn công thực thi mã từ xa thông qua một chuỗi đặc biệt. Kể từ khi Log4j trở nên phổ biến, tội phạm mạng có thể dễ dàng thao túng các chuỗi log và kiểm soát máy chủ hoặc máy khách.
Một trong những lý do chính dẫn đến sự tồn tại của lỗi này là do một số phiên bản của Log4j có khả năng thực thi văn bản tùy ý thông qua giao thức tra cứu thư mục (giao thức LDAP).
Nếu bạn muốn hiểu chi tiết vấn đề này một cách đơn giản, hãy đọc bài Twitter này.
Explaining #log4j for non technical people, because the internet is burning down and y'all might want to know what's happening and why there's all this "${jndi:ldap" stuff out there#Log4Shell #log4jRCE
⬇️
— Emy | eq ? (@entropyqueen_) December 11, 2021
Theo một báo cáo mới từ Bloomberg, lỗi này được một nhà nghiên cứu bảo mật làm việc cho Alibaba báo cáo lần đầu tiên tới những người bảo trì dự án Log4j vào ngày 24 tháng 11.
Ai sẽ chịu ảnh hưởng?
Thành thật mà nói, đáng lẽ tôi nên đặt tiêu đề cho mục này là “Đối tượng nào không phải chịu ảnh hưởng?”. Do bản chất là một mã nguồn mở và khả năng tương thích rộng rãi đã khiến cho Log4j trở thành một lựa chọn tuyệt vời và rất nhiều công ty sử dụng – bao gồm cả Apple, Microsoft, Steam, Twitter, Baidu và Cloudflare.
Ngay sau khi thông tin chi tiết về lỗ hổng được tiết lộ, một số người đã bắt đầu quét các máy chủ để kiểm tra xem chúng có bị khai thác hay không.
Mass scanning activity detected from multiple hosts checking for servers using Apache Log4j (Java logging library) vulnerable to remote code execution (https://t.co/GgksMUlf94).
Query our API for "tags=CVE-2021-44228" for source IP addresses and other IOCs. #threatintel
— Bad Packets (@bad_packets) December 10, 2021
Một số lập trình viên đã tiến hành thử nghiệm trên các trang web và dịch vụ khác nhau để kiểm tra khả năng tiếp cận của cuộc tấn công; bạn có thể kiểm tra danh sách đầy đủ ở đây.
Bằng chứng dựa trên IP cho thấy Twitter sử dụng dịch vụ Log4j
Theo Ars Technica lưu ý, quan trọng là nhiều công ty trong số này có một số tuyến phòng thủ chống lại các cuộc tấn công mạng. Vì vậy, ngay cả khi một số máy chủ không được bảo mật chắc chắn, các hệ thống bảo mật khác vẫn có thể ngăn chặn cuộc tấn công.
Vấn đề nổi lên thông qua các trang web của Minecraft, khi các nhà nghiên cứu phát hiện ra rằng một chuỗi cụ thể được chuyển đến máy chủ hoặc thậm chí là tin nhắn trong trò chơi cũng có thể cho phép những kẻ tấn công kiểm soát hệ thống. Giám đốc điều hành của công ty cơ sở hạ tầng web Cloudflare – Matthew Prince đã tweet rằng công ty sẽ triển khai một số biện pháp bảo vệ cho tất cả khách hàng – bao gồm cả những khách hàng đang sử dụng gói miễn phí.
We’ve made the determination that #Log4J is so bad we’re going to try and roll out at least some protection for all @Cloudflare customers by default, even free customers who do not have our WAF. Working on how to do that safely now.
— Matthew Prince ? (@eastdakota) December 10, 2021
Đáng chú ý, một số thiết bị gia đình cũng chạy các thành phần máy chủ Java và Log4j có thể là một trong số những thành phần đó. Vì vậy, máy nướng bánh mì của bạn cũng cũng có khả năng trở thành một mục tiêu bị hack (?).
Nền tảng bảo mật dữ liệu LunaSec đã có một bài viết giải thích kỹ thuật rất dài về ảnh hưởng của lỗi trên blog của mình.
Nếu bạn còn đang băn khoăn về phạm vi sử dụng khổng lồ của Log4j, thì tweet này sẽ tóm tắt lại cho bạn.
Did you know that Ingenuity, the Mars 2020 Helicopter mission, is powered by Apache Log4j? https://t.co/gV0uyE1ylk#Apache#OpenSource#innovation#community#logging#servicespic.twitter.com/aFX9JdquP1
— Apache – The ASF (@TheASF) June 4, 2021
Làm cách nào để cải thiện tình hình?
Nhiều giờ sau khi lỗi này được phát hiện, đội ngũ bảo mật của Apache Foundation đã phát hành phiên bản Log4j mới (v15.0) với các bản vá bảo mật hệ thống khỏi các cuộc tấn công.
Mojang Studios – Chủ sở hữu của Minecraft cũng xuất bản một bản hướng dẫn cho những người đang chạy bản cài đặt game chính thức và những người điều hành hệ thống máy chủ để sửa lỗi. Nó cảnh báo những người đang sử dụng bản cài đặt game của bên thứ ba có thể phải đợi nhà cung cấp vá lỗi khai thác. Ngoài ra, đội ứng cứu khẩn cấp máy tính (CERT) của chính phủ Thụy Sĩ đã đăng trên Twitter một hướng dẫn phòng ngừa dễ hiểu dưới dạng hình ảnh.
Heads up: We see a lot of scanning against the #log4j vulnerability and decided to publish a blog post with some guidance:https://t.co/dtEXfY1G16
Please patch now! pic.twitter.com/HSedlSed0V
— GovCERT.ch (@GovCERT_CH) December 12, 2021
Các công ty như Red Hat và VMWare đã phát hành các bản sửa lỗi của riêng họ để giải quyết vấn đề. Đối với các quản trị viên máy chủ, một số blog về bảo mật có hướng dẫn chi tiết về các chiến lược xoa dịu tình hình. Một người dùng GitHub đã lập một danh sách các bản vá siêu hữu ích được phát hành bởi các công ty, trong đó có Netflix, Citrix, Docker và Oracle.
Apache cũng vừa cho ra mắt framework Log4j phiên bản 2.16.0. Bản cập nhật này loại bỏ hoàn toàn message lookups để giảm bớt mối đe dọa. Thêm vào đó, nó cũng đã vô hiệu hóa tính năng tự động giải quyết lookups có trong một message hoặc các tham số của nó.
Mối đe dọa vẫn chưa dừng lại
Trong khi các nhà cung cấp dịch vụ và cộng đồng nguồn mở đang làm việc suốt ngày đêm để khắc phục sự cố và bảo mật nhiều hệ thống nhất có thể. Mối nguy hiểm vẫn đang rình rập chúng ta.
Như Bleeping Computer đã lưu ý trong báo cáo đêm qua, những kẻ tấn công đang cài đặt các công cụ mã hóa, phần mềm độc hại và triển khai Botnet cho các cuộc tấn công DDoS (Tấn công từ chối dịch vụ). Nhóm tình báo về mối đe dọa của Microsoft đã lưu ý rằng nhiều kẻ tấn công đang sử dụng công cụ phát hiện xâm nhập Colbat Strike để đánh cắp thông tin xác thực.
Sean Gallagher, một nhà nghiên cứu cấp cao về các mối đe dọa tại Sophos, cũng nói rằng công ty bảo mật đã phát hiện nhiều lượt thực thi mã từ xa:
Kể từ ngày 9 tháng 12, Sophos đã phát hiện hàng trăm nghìn lượt thực thi mã từ xa bằng cách sử dụng lỗ hổng Log4Shell. Ban đầu, đây là các bài kiểm tra khai thác Proof-of-Concept (PoC) của các nhà nghiên cứu bảo mật và những kẻ tấn công tiềm năng, cũng như nhiều cuộc quét trực tuyến để tìm lỗ hổng. Việc này nhanh chóng được theo sau bởi những lượt cài đặt các công cụ khai thác tiền ảo, bao gồm cả việc cài đặt công cụ khai thác Kinsing.
Thông tin tình báo gần đây nhất cho thấy những kẻ tấn công đang cố gắng khai thác lỗ hổng để làm lộ các khóa được sử dụng bởi các tài khoản Amazon Web Service.
Nhà nghiên cứu bảo mật Greg Linares đã tweet rằng những kẻ tấn công có thể đang xây dựng một con sâu để tấn công nhiều máy chủ thông qua lỗi Log4j. Mục đích của những đối tượng này là gây ra thiệt hại hoặc đòi tiền.
#Log4J based on what I've seen, there is evidence that a worm will be developed for this in the next 24 to 48 hours.
Self propagating with the ability to stand up a self hosted server on compromised endpoints.
In addition to spraying traffic, dropping files, it will have c2c
— Greg Linares (@Laughing_Mantis) December 12, 2021
Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) cũng đã đưa ra một cảnh báo rằng lỗi này “đang được khai thác rộng rãi bởi một số lượng lớn những tác nhân đe dọa, đặt ra một thách thức cấp bách đối với những quản trị mạng nếu nó được sử dụng rộng rãi”. Cơ quan này khuyến nghị các tổ chức cần vô hiệu hóa các thiết bị có thể truy cập từ bên ngoài (external-facing) có chạy Log4j và cài đặt bảo mật tường lửa bổ sung với các quy tắc liên quan đến lỗ hổng bảo mật.
Vào đêm qua, các nhà nghiên cứu bảo mật đã phát hiện ra rằng lỗi Log4j có thể ảnh hưởng đến tất cả các phiên bản Java. Vì vậy, ngay cả khi bạn đang chạy một phiên bản Java đã cập nhật, bạn vẫn cần phải vá dịch vụ Log4j của mình.
Just added support to LDAP Serialized Payloads in the JNDI-Exploit-Kit. This attack path works in *ANY* java version as long the classes used in the Serialized payload are in the application classpath. Do not rely on your java version being up-to-date and update your log4j ASAP! pic.twitter.com/z3B2UolisR
— Márcio Almeida (@marcioalm) December 13, 2021
Một báo cáo từ The Verge lưu ý rằng các nhà nghiên cứu đang nhận được ping từ máy chủ của Apple và Tesla nếu họ thay đổi tên thiết bị thành chuỗi khai thác được chế tạo đặc biệt.
Cộng đồng mã nguồn mở không hài lòng vì những người đóng góp được trả chi phí quá thấp.
Lỗi Log4j này một lần nữa cho thấy các tập đoàn lớn trên toàn cầu phụ thuộc rất nhiều vào phần mềm có mã nguồn mở miễn phí. Tất cả đều ổn và tuyệt vời, nhưng cộng đồng phát triển mã nguồn mở cảm thấy bị xúc phạm bởi những người đóng góp không được trả một khoản tiền xứng đáng.
Filippo Valsorda, một nhà mật mã học của Google chia sẻ trên blog cá nhân của mình rằng người bảo trì mà đã sửa lỗi Log4j làm việc bán thời gian cho dự án và chỉ có ba Nhà tài trợ GitHub (một cách để mọi người trả tiền cho tình nguyện viên của dự án).
Ông cho biết những người đóng góp chỉ nhận được một số tiền nhỏ thông qua GitHub hoặc Patreon, trong khi các dự án của họ có thể giúp ích cho những thương vụ trị giá hàng triệu đô la. Ngoài ra, một lỗi trong các hệ thống quan trọng này có thể phá vỡ cả mạng lưới Internet và thật không công bằng đối với những người dành cả thời gian rảnh rỗi của họ để làm dự án này mà không nhận được bất kỳ phần thưởng xứng đáng nào.
No one is paying the log4j2 maintainers!?
There is a whole page on the responsibilities of a @TheASF "Project Management Committee"… AND NO ONE IS PAYING THEM? https://t.co/JXimIQLxw5
Open Source needs to grow the hell up. Yesterday.https://t.co/tQpITt8vn3
— Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) December 10, 2021
Matthew Green, giáo sư mật mã tại Đại học Johns Hopkins cho rằng ngành công nghiệp này cần một danh sách các thư viện và công nghệ mã nguồn mở có phạm vi tiếp cận rộng rãi có thêm để nhiều người có thể làm việc trong các dự án quan trọng hơn – những dự án giúp internet vận hành mượt mà.
Ok, so what I’m saying is that if you want to solve this problem, to me the missing resource is not money. It’s *visibility*. We all know the landmines are out there — but we can’t see them. 8/
— Matthew Green (@matthew_d_green) December 11, 2021
Người sáng lập công ty bảo mật Chainguard – Dan Lorenc chia sẻ: Mặc dù các tập đoàn sẵn sàng tài trợ cho các dự án mã nguồn mở, nhưng rất khó để họ tìm ra các dự án quan trọng cần trả phí cho người bảo trì. Ông cũng lưu ý rằng lý tưởng nhất là ngành công nghiệp này nên tài trợ cho các nhóm bảo trì thực hiện từ ba đến bốn dự án.
Funding OSS is a hot topic today! I got to spend a lot of time over the last two years working on paying OSS maintainers at @Google.
We spent a few million dollars and funded some relatively high profile work, in addition to a lot of smaller projects.
A ?on problems I saw!
— Dan Lorenc (@lorenc_dan) December 12, 2021
Những người đóng góp cho biết rằng thù lao của họ thông qua các khoản đóng góp là siêu thấp, thật sự khó để duy trì với số ít ỏi như vậy. Đó là một tình trạng đáng buồn.
Hy vọng rằng, vấn đề này cuối cùng sẽ thức tỉnh ngành công nghiệp đang hướng đến việc hợp tác cùng nhau và đóng góp vào các dự án mã nguồn mở giúp cho Internet phát triển. Nhưng có lẽ, mọi việc sẽ lại lắng xuống nếu như lỗi này không gây ra quá nhiều thiệt hại.
Cuối cùng, tôi xin kết thúc câu chuyện này bằng web truyện tranh XKCD để tổng hợp tình hình.
Thao khảo bài đăng gốc tại đây.
Comments
Add Comment