Log4j: เราเมาแค่ไหน?

แน่นอน เป็นเวลาหนึ่งปีแล้วสำหรับความล่มสลายทางไซเบอร์ ดังนั้น ทำไมไม่ลองผูกมัดกับช่องโหว่ด้านความปลอดภัยที่ดี ซึ่งส่งผลกระทบต่อเกือบทุกอย่างบนอินเทอร์เน็ต นั่นฟังดูถูกต้อง

กล่าวโดยย่อบั๊ก Apache log4j นั้นไม่ดี ตามที่ Jen Easterly ผู้อำนวยการหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของอเมริกากล่าวว่า “หนึ่งในเรื่องที่ร้ายแรงที่สุด” ที่เธอเห็นใน “อาชีพทั้งหมดของเธอ” ในการปรากฎตัวของสื่อเมื่อเร็วๆ นี้ ทางอีสเตอร์ลีบอกกับผู้สื่อข่าวว่าเจ้าหน้าที่ของรัฐบาลกลางคาดหวังอย่างเต็มที่ว่า “ช่องโหว่ที่จะถูกเอารัดเอาเปรียบอย่างกว้างขวางโดยนักแสดงที่มีความซับซ้อน” และ Jay Gazlay เพื่อนร่วมงานของเธอจากสำนักงานจัดการช่องโหว่ของ CISA ได้เปิดเผยว่าจุดบกพร่องดังกล่าวน่าจะส่งผลกระทบกับ “หลายร้อย คน อุปกรณ์นับล้าน”

มากกว่า: Web3 คืออะไรและเหตุใดคุณจึงควรสนใจ

แม้ว่าผู้ใช้เว็บทุกวันจะทำอะไรไม่ได้มากเกี่ยวกับสถานการณ์ทั้งหมดนี้ แต่การรู้ว่าเกิดอะไรขึ้นอาจเป็นประโยชน์ นี่คือบทสรุปโดยย่อเกี่ยวกับความน่าสะพรึงกลัวทั้งหมด

โปรแกรมที่ได้รับผลกระทบ Log4j ของ Apache เป็นไลบรารีบันทึกโอเพนซอร์สฟรีที่บริษัทจำนวนมากใช้ ไลบรารีการบันทึกถูกใช้งานโดยวิศวกรเพื่อบันทึกวิธีการทำงานของโปรแกรม พวกเขาอนุญาตให้มีการตรวจสอบรหัสและเป็นกลไกประจำในการตรวจสอบจุดบกพร่องและปัญหาการทำงานอื่นๆ เนื่องจาก log4j นั้นฟรีและเชื่อถือได้ในวงกว้าง บริษัททั้งขนาดใหญ่และขนาดเล็กจึงใช้มันสำหรับทุกสิ่ง แน่นอนว่าสิ่งที่น่าแปลกก็คือเครื่องมือตรวจสอบจุดบกพร่องนี้มีข้อบกพร่องอยู่ในขณะนี้

นักวิจัยด้านความปลอดภัยเรียกช่องโหว่นี้ว่า “Log4Shell” เนื่องจากการเจาะช่องโหว่ที่เหมาะสมอาจส่งผลให้มีการเข้าถึงเชลล์ (เรียกอีกอย่างว่า “การเข้าถึงรหัสระยะไกล”) ไปยังระบบของเซิร์ฟเวอร์ การกำหนดอย่างเป็นทางการของมันคือCVE-2021-44228และมีระดับความรุนแรงที่ 10 ในระดับระบบการให้คะแนนช่องโหว่ทั่วไป ซึ่งถือว่าแย่ที่สุดที่คุณจะได้รับ มันถูกเปิดเผยต่อสาธารณะครั้งแรกเมื่อวันที่ 9 ธันวาคม น้อยกว่าหนึ่งสัปดาห์ก่อน หลังจากที่ถูกพบโดยสมาชิกของทีม Cloud Security ของอาลีบาบา ชายคนหนึ่งชื่อ Chen Zhaojun

ในทางเทคนิคแล้ว จุดบกพร่องดังกล่าวเป็นช่องโหว่การเรียกใช้โค้ดจากระยะไกลแบบ zero-day ซึ่งหมายความว่า "อนุญาตให้ผู้โจมตีดาวน์โหลดและเรียกใช้สคริปต์บนเซิร์ฟเวอร์เป้าหมาย ปล่อยให้เปิดดำเนินการเพื่อการควบคุมระยะไกล" นักวิจัยของ Bitdefender เขียนไว้ในรายละเอียดล่าสุดช่องโหว่ การเอารัดเอาเปรียบนั้นค่อนข้างง่าย—อาชญากรไม่ต้องทำอะไรมากเพื่อสร้างปัญหามากมาย

เนื่องจากความแพร่หลายของ log4j แพลตฟอร์มที่ใหญ่ที่สุดบนอินเทอร์เน็ตส่วนใหญ่จึงเชื่อมโยงกับปัญหาดังกล่าว มี รายการ หลาย รายการที่ได้รับการตีพิมพ์โดยอ้างว่าเพื่อแสดงว่าใครได้รับผลกระทบและผู้ที่อาจได้รับผลกระทบ ณ จุดนี้การบัญชีที่ครอบคลุมโดยสิ้นเชิงดูเหมือนจะเป็นความทะเยอทะยานที่เล่นโวหาร ตามรายงานต่างๆ ผู้ประสบภัยรวมถึงชื่อใหญ่ๆ เช่น Apple, Twitter, Amazon, LinkedIn, CloudFlare และอื่นๆ

บริษัทต่างๆ ที่ยืนยันการมีส่วนร่วมอย่างชัดเจนมักรายงานว่าผลิตภัณฑ์และบริการจำนวนมากจำเป็นต้องได้รับการแก้ไข ตัวอย่างเช่น บริษัทคลาวด์คอมพิวติ้ง VMWare รายงานว่าผลิตภัณฑ์ 44 รายการได้รับผลกระทบ Cisco ยักษ์ใหญ่ด้านเครือข่ายกล่าวว่าเครื่องมือ 35 รายการมีความเสี่ยง Fortigard บริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อดังเปิดเผยว่าผลิตภัณฑ์ของบริษัทอย่างน้อยโหลได้รับผลกระทบ รายการไปบนและบน.

เห็นได้ชัดว่าอเมซอนเป็นหนึ่งในบริษัทที่ใหญ่ที่สุดในรายชื่อนั้น ยักษ์ใหญ่ด้านเทคโนโลยีได้เผยแพร่การอัปเดตที่เกี่ยวข้องกับผลิตภัณฑ์และบริการเป็นประจำ (ซึ่งดูเหมือนว่าจะมีค่อนข้างน้อย) ในขณะที่ Apple ได้ยืนยันเมื่อเร็ว ๆ นี้ว่า iCloud ได้รับผลกระทบจากบั๊กและได้แก้ไขตัวเองในภายหลัง บริษัทอื่นๆ ยังคงตรวจสอบว่าพวกเขาถูกเมาหรือไม่ ซึ่งรวมถึงยักษ์ใหญ่ด้านเทคโนโลยีอย่าง Blackberry, Dell, Huawei และ Citrix รวมถึงบริษัทเทคโนโลยีชื่อดังอย่าง SonicWall, McAfee, TrendMicro, Oracle, Qlik และอื่นๆ อีกมากมาย

แต่จุดบกพร่องยังมีศักยภาพในการเข้าถึงนอกเทคโนโลยีและยุ่งกับอุตสาหกรรมต่างๆ ที่คุณจะไม่เชื่อมโยงกับปัญหาประเภทนี้โดยธรรมชาติ Dragos ซึ่งวิเคราะห์ความปลอดภัยที่เกี่ยวข้องกับระบบการปฏิบัติงานและอุตสาหกรรมได้เขียนไว้เมื่อไม่นานนี้ว่า:

นั่นคือข่าวร้าย ข่าวดี? เจเค ไม่มีข่าวดีอะไรหรอก แต่มีข่าวร้ายมากกว่านั้น: ช่องโหว่ที่อ้าปากค้างนี้ได้เห็นความพยายามในการแสวงหาผลประโยชน์จำนวนมากโดยกลุ่มอาชญากรไซเบอร์แล้ว นักวิจัยด้านความปลอดภัยทั่วอินเทอร์เน็ตได้เริ่มเผยแพร่รายงานเกี่ยวกับกิจกรรมที่พวกเขาเห็น ซึ่งก็ไม่ได้สวยงามนัก

ส่วนใหญ่ของปัญหาคือ อาชญากรส่วนใหญ่ดูเหมือนจะค้นพบเกี่ยวกับ vuln log4j ในเวลาเดียวกับคนอื่นๆ ดังนั้น การพยายามแสวงหาประโยชน์จากระบบและแพลตฟอร์มที่มีช่องโหว่จึงเพิ่มขึ้นอย่างมากตั้งแต่สัปดาห์ที่แล้ว เนื่องจากแฮ็กเกอร์ทั่วทั้งเว็บต่างพยายามใช้ประโยชน์จากสถานการณ์ที่น่ากลัวที่ไม่เหมือนใครนี้ Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์เพิ่งเผยแพร่ข้อมูลที่แสดงให้เห็นว่าได้สังเกตเห็นการพยายามโจมตีช่องโหว่จำนวนมากตั้งแต่การเปิดเผยครั้งแรกเกี่ยวกับจุดบกพร่อง รายงานหมายเหตุ:

Sergio Caltagirone รองประธานฝ่าย Threat Intelligence ของบริษัทความปลอดภัยทางไซเบอร์ Dragos กล่าวกับ Gizmodo ว่ากิจกรรมประเภทนี้ค่อนข้างเท่าเทียมกันสำหรับหลักสูตรนี้ “มีความเป็นไปได้สูงและคาดว่าแรนซัมแวร์จะใช้ประโยชน์จากช่องโหว่ของ log4j ในที่สุด โดยเฉพาะอย่างยิ่งเนื่องจากระบบที่มีช่องโหว่มักเป็นทรัพย์สินที่สำคัญ เช่น เซิร์ฟเวอร์” เขากล่าวในอีเมล

อันที่จริง บริษัทรักษาความปลอดภัยทางไซเบอร์ Bitdefender ได้เผยแพร่ผลการวิจัยเมื่อวันอังคารที่ดูเหมือนว่าจะแสดงให้เห็นถึงความพยายามในการใช้ประโยชน์จากเครื่องที่มีช่องโหว่โดยกลุ่มแรนซัมแวร์ใหม่ที่รู้จักกันในชื่อ "Khonsari" จากการวิจัยพบว่า แฮกเกอร์ Khonsari ransomware ได้กำหนดเป้าหมายไปที่ระบบของ Microsoft โดยทิ้งบันทึกค่าไถ่ไว้

และในขณะที่แรนซัมแวร์เป็นหนึ่งในข้อกังวลหลัก ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายอื่นๆ ได้เขียนเกี่ยวกับการพยายามหาประโยชน์จากช่องโหว่ต่างๆ ที่พวกเขาเห็น ซึ่งชอบใช้ขอบเขตตั้งแต่การติดตั้ง cryptomining และ botnet ไปจนถึงกิจกรรมประเภทการสอดแนม เช่น การสแกนทั่วไปและการปรับใช้บีคอน Cobalt-Strike

ในหลายกรณี การโจมตีเหล่านี้ดูเหมือนจะมาอย่างรวดเร็วและรุนแรง “เราเห็นการพยายามหาประโยชน์มากกว่า 1,000 ครั้งต่อวินาที และน้ำหนักบรรทุกเริ่มน่ากลัวขึ้น เพย์โหลดแรนซัมแวร์เริ่มมีผลบังคับใช้ใน 24 ชั่วโมงที่แล้ว” แมทธิว ปรินซ์ ซีอีโอของ Cloudflare ทวีตซึ่งเห็นได้ชัดว่ากำลังเฝ้าดูกิจกรรมการเอารัดเอาเปรียบ

ที่แย่ไปกว่านั้น ช่องโหว่ที่สองที่เรียกว่า CVE-2021-45046ถูกค้นพบในสัปดาห์นี้ นักวิจัยที่ LunaSec กล่าวว่าระบบที่แพตช์ก่อนหน้านี้ยังคงทำงานตามจุดบกพร่องล่าสุด และ Apache ได้เปิดตัวการอัปเดตเพื่อลดความเสี่ยงแล้ว

หากคุณเป็นผู้ใช้เว็บทั่วไป สิ่งเดียวที่คุณทำได้ในตอนนี้คืออัปเดตอุปกรณ์และแอปพลิเคชันของคุณเมื่อได้รับแจ้ง และหวังว่าแพลตฟอร์มที่คุณใช้จะเร็วพอที่จะระบุจุดอ่อน สร้างแพตช์ และผลักดันการอัปเดต ในระยะสั้น: รออยู่ตรงนั้นทุกคน