ช่องโหว่ของ Log4j เพิ่มขึ้นเรื่อยๆ เนื่องจากบริษัทต่างๆ แย่งชิง Patch

วิกฤตการณ์ขนาดมหึมาที่เกิดจาก log4j ยังไม่จบ—ยังไม่ใกล้เคียงด้วยซ้ำ ในช่วงสัปดาห์ที่ผ่านมา มีการค้นพบช่องโหว่ใหม่ในไลบรารีบันทึก Apache ที่โชคร้าย (ซึ่งมีช่องโหว่ที่แพร่หลาย เรียกว่า “Log4Shell” ในโลกของ infosec) แต่ตามที่ผู้เชี่ยวชาญไม่จำเป็นต้องตื่นตระหนกทันที ต่อไปนี้คือภาพรวมคร่าวๆ ของการพัฒนาล่าสุดและการตอบสนองของผู้เชี่ยวชาญด้านความปลอดภัย

การ แพตช์ซอฟต์แวร์ไม่ใช่กระบวนการที่ตรงไปตรงมา และไม่มีที่ใดที่ชัดเจนไปกว่าความล้มเหลวของ log4j ในช่วงสัปดาห์ที่ผ่านมา Apache ได้ออก แพตช์ หลายตัว แต่ในแพตช์แต่ละแพตช์ที่ต่อเนื่องกัน ปัญหาเพิ่มเติมได้เกิดขึ้นแล้ว

เมื่อวันศุกร์ที่ผ่านมา Apache ได้ออกแพตช์ที่สามเวอร์ชัน 2.17.0โดยมีวัตถุประสงค์เพื่อแก้ไขช่องโหว่ที่ค้นพบใหม่ซึ่งจะอนุญาตให้โจมตีโดย Denial of Service (ข้อบกพร่องใหม่นั้นกำลังถูกติดตามอย่างเป็นทางการในชื่อCVE-2021-45105 )

แพตช์ก่อนหน้า2.16.0ได้รับการเผยแพร่หลังจาก2.15.0ซึ่ง เป็นแพตช์ ดั้งเดิมล้มเหลวในการบรรเทาการโจมตีจากระยะไกลซึ่งในบางกรณีอาจอนุญาตให้ขโมยข้อมูลได้ กล่าวอีกนัยหนึ่ง แพตช์ที่มีไว้เพื่อแก้ไขช่องโหว่ดั้งเดิมนั้นมี ช่องโหว่ของ ตัวเองและแพตช์เพื่อแก้ไขนั้นก็มีปัญหาเช่นกัน สิ่งที่ดี.

จากทั้งหมดที่กล่าวมา ข้อบกพร่องด้านความปลอดภัยที่ใหม่กว่าเหล่านี้ไม่ได้รุนแรงเท่าเดิม และไม่ควรเป็นเรื่องที่ต้องนอนไม่หลับมากเกินไป ตามที่ผู้เชี่ยวชาญบางคนกล่าว

เป็นช่องโหว่ดั้งเดิมCVE-2021-44228ซึ่งหากปล่อยทิ้งไว้ ยังคงเป็นฝันร้ายด้านความปลอดภัยทางไซเบอร์

อีกตอนที่มีสีสันในนิยายเกี่ยวกับเรื่องนี้คือการถกเถียงเมื่อเร็ว ๆ นี้ในหมู่ผู้เชี่ยวชาญด้านความปลอดภัยว่า log4j ได้ให้กำเนิดเวิร์มหรือไม่

เมื่อวันอาทิตย์ นักวิจัยด้านความปลอดภัย Germán Fernández  อ้างว่าเขาพบเวิ ร์ม ซึ่งเป็นโปรแกรมที่เป็นอันตรายและแพร่กระจายได้เอง ซึ่งส่งผลกระทบต่ออุปกรณ์ที่ไม่ได้แก้ไขช่องโหว่ของ log4j VX Underground ซึ่งเป็นแหล่งเก็บข้อมูลออนไลน์ขนาดใหญ่ของตัวอย่างมัลแวร์และสถาบันการศึกษาที่เกี่ยวข้อง ได้แบ่งปันการค้นพบของนักวิจัย: “นักวิจัยด้านความปลอดภัย@1ZRR4Hได้ระบุเวิร์ม Log4J ตัวแรกแล้ว เป็นบอท Mirai ที่ขยายพันธุ์ได้เอง เราได้รวบรวมตัวอย่างแล้ว” บัญชีของ VX ทวีต Greg Linares นักวิจัยด้านความปลอดภัยอีกคนหนึ่งกล่าวว่าดูเหมือนว่าโปรแกรมที่เป็นอันตรายนั้นมุ่งเป้าไปที่เราเตอร์ Huawei ที่ไม่ได้รับการแพตช์เป็นหลัก

อย่างไรก็ตาม ผู้เชี่ยวชาญคนอื่นๆ โยนน้ำเย็นลงในข้อเรียกร้องเหล่านี้อย่างรวดเร็ว โดยชี้ให้เห็นว่าโปรแกรมดูเหมือนจะไม่สามารถใช้งานได้ทั้งหมด และอาจไม่ได้มีคุณสมบัติในทางเทคนิคว่าเป็นเวิร์มด้วยซ้ำ Marcus Hutchins นักวิจัยด้านความปลอดภัยทางไซเบอร์ที่โดดเด่นกล่าว ว่า "ฉันได้ออกแบบวิศวกรรมย้อนกลับเวิร์ม log4jนี้แล้วและมันไม่ทำงานเลย" "นอกจากนี้ยังมีข้อบกพร่องหลายอย่างในโค้ด ซึ่งหมายความว่าแม้ว่าพวกเขาจะแก้ไขความล้มเหลวหลัก แต่ก็ยังไม่ได้ผลอย่างสมบูรณ์"

ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยได้ประณามในทำนองเดียวกันว่าเวิร์มอาจรุนแรงเพียงใดในบริบทของ log4j Tom Kellermann หัวหน้าฝ่ายกลยุทธ์ความปลอดภัยทางไซเบอร์ของ VMware เพิ่งบอกกับ ZDnet ว่าเวิร์มอาจถูก "ติดอาวุธ" โดยอำนาจจากต่างประเทศที่ไม่เป็นมิตรหรือบริการข่าวกรอง ซึ่งผลลัพธ์สุดท้ายอาจไม่ดีนัก

ในขณะเดียวกัน ความพยายามในการเอารัดเอาเปรียบที่มุ่งเป้าไปที่ log4j ยังคงเปิดเผยกลยุทธ์การโจมตีแบบใหม่

เมื่อวันจันทร์ กระทรวงกลาโหมของเบลเยียมเปิดเผยว่าถูกบังคับให้ปิดเครือข่ายบางส่วนหลังจากกลุ่มแฮ็กเกอร์ใช้ประโยชน์จาก log4j เพื่อเข้าสู่ระบบของตน แม้ว่าจะไม่ได้เปิดเผยอะไรมากนักเกี่ยวกับเหตุการณ์นี้ แต่ก็เป็นหนึ่งในตัวอย่างที่มองเห็นได้ชัดเจนที่สุด แต่บั๊ก Apache ถูกใช้เพื่อสร้างความเสียหายในโลกแห่งความเป็นจริง จะไม่ใช่คนสุดท้ายแน่นอน

อันที่จริง รายงานล่าสุดแสดงให้เห็นว่ากลุ่มอาชญากรที่มีแรงจูงใจทางการเงินเข้าร่วมการต่อสู้ ซึ่งรวมถึงโทรจันของธนาคารด้วย นอกจากนี้ แก๊งแรนซัมแวร์ กิจกรรมจารกรรมทางไซเบอร์ของรัฐระดับชาติ และการขุด crypto ก็ถูกพบเช่นกัน นายหน้าเข้าถึงเบื้องต้น —อาชญากรไซเบอร์ที่แฮ็กอุปกรณ์และเครือข่ายคอมพิวเตอร์ด้วยความตั้งใจที่จะหันหลังกลับและขายการเข้าถึงนั้นให้กับอาชญากรรายอื่น (ส่วนใหญ่เป็นแฮกเกอร์แรนซัมแวร์)— ได้ขโมยระบบที่มีช่องโหว่ของ log4j ทีมรักษาความปลอดภัยของ Microsoft เผยแพร่งานวิจัยเมื่อสัปดาห์ที่แล้วซึ่งแสดงให้เห็นว่า "กลุ่มกิจกรรมที่ติดตามหลายกลุ่มซึ่งทำหน้าที่เป็นนายหน้าเข้าถึงได้เริ่มใช้ช่องโหว่ในการเข้าถึงเครือข่ายเป้าหมายในเบื้องต้น"

ในระยะสั้น: ความสนุกยังคงดำเนินต่อไป! เราจะติดตามการเปลี่ยนแปลงในวงกว้างของวิกฤตการณ์ทั้งหมดนี้ต่อไปในขณะที่มันคลี่คลาย