Log4j ช่องโหว่ร้ายแรงที่สร้างผลกระทบต่อระบบทั่วโลก

เมื่อวันศุกร์ที่ 10 ธันวาคม 2564 ที่ผ่านมา ได้มีการเปิดเผยถึงช่องโหว่ของแพ็กเกจ Java (Log4j) ประเภท Zero-day หรือที่เรียกกันว่าช่องโหว่ “Log4Shell” ด้วยความที่ช่องโหว่นี้มีความร้ายแรง CVSS v3 ระดับ Critical (10) และยังเป็นช่องโหว่ที่พบในแพ็กเกจที่มีการใช้งานอย่างแพร่หลาย จึงส่งผลกระทบต่อระบบและซอฟต์แวร์แอปพลิเคชันเป็นจำนวนมาก ก่อให้เกิดกระแสของความกังวลและความโกลาหลล่วงเลยมาจนถึงปัจจุบัน

Log4j คืออะไร?

Apache Log4j คือ แพ็กเกจไลบรารีสำหรับการเก็บบันทึก Log ซึ่งถูกใช้ในโปรแกรมที่พัฒนาในภาษา Java โดยช่องโหว่ที่ถูกพบในครั้งนี้ส่งผลกระทบตั้งแต่เวอร์ชัน 2.0-beta9 จนถึงเวอร์ชัน 2.14.1

ช่องโหว่ของ Log4j ถูกโจมตีได้อย่างไร?

จากคำอธิบายของ CVE-2021-4428 ระบุว่าเนื่องจากไลบรารีดังกล่าวไม่มีมาตรการกรองอินพุต (Input Validation) ที่เพียงพอ เป็นเหตุให้ผู้ไม่หวังดีสามารถทำการขโมยจากระยะไกล (Remote Hijack) JDNI (Java Naming and Directory Interface) เพื่อรันคำสั่ง Java ที่เขียนขึ้นมาเองได้

โดยในช่อง YouTube ของคุณ John Hammond ได้ทำการสาธิตวิธีการใช้ช่องโหว่เพื่อโจมตีเกมชื่อดังอย่าง Minecraft ซึ่งมีการใช้แพ็กเกจไลบรารีดังกล่าวด้วยเช่นกัน

ทุกท่านสามารถดูรายชื่อของ Software ที่ได้รับผลกระทบจากช่องโหว่ Log4j ได้ที่

https://github.com/cisagov/log4j-affected-db

ซึ่งใน ณ ขณะนี้ บรรดาผู้ให้บริการซอฟต์แวร์และแพลตฟอร์มที่มีการใช้งานแพ็กเกจดังกล่าว เช่น Microsoft, Amazon, Cisco เป็นต้น ได้ทำการออกแพตช์เพื่อปิดช่องโหว่แล้ว จึงขอให้ผู้ใช้งานทุกท่านรีบทำการอัปเดตแพตช์ให้เป็นเวอร์ชันล่าสุดเพื่อปกป้องตัวเองและองค์กรจากความเสี่ยงอย่างเร่งด่วน

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com

#cybersecurity
#cybersecurityisamust
#cloudsecasia

Reference

Cve.mitre.org. 2021. CVE -CVE-2021-44228. [online] Available at: <https://cve.mitre.org/cgi-bin/cvename.cgi…> [Accessed 15 December 2021].- En.wikipedia.org. 2021. Log4j – Wikipedia. [online] Available at: <https://en.wikipedia.org/wiki/Log4j> [Accessed 15 December 2021].- Lakshmanan, R., 2021. Apache Log4j Vulnerability — Log4Shell — Widely Under Active Attack. [online] The Hacker News. Available at: <https://thehackernews.com/…/apache-log4j-vulnerability…> [Accessed 15 December 2021].- Lakshmanan, R., 2021. Extremely Critical Log4J Vulnerability Leaves Much of the Internet at Risk. [online] The Hacker News. Available at: <https://thehackernews.com/…/extremely-critical-log4j…> [Accessed 15 December 2021].- NGINX. 2021. Mitigating the log4j Vulnerability (CVE-2021-44228) with NGINX – NGINX. [online] Available at: <https://www.nginx.com/…/mitigating-the-log4j…/> [Accessed 15 December 2021].- Securelist.com. 2021. CVE-2021-44228 vulnerability in Apache Log4j library. [online] Available at: <https://securelist.com/cve-2021-44228…/105210/> [Accessed 15 December 2021].- The GitHub Blog. 2021. GitHub’s response to Log4j vulnerability CVE-2021-44228 | The GitHub Blog. [online] Available at: <https://github.blog/2021-12-13-githubs-response-to-log4j…/> [Accessed 15 December 2021].- Tung, L., 2021. Log4j zero-day flaw: What you need to know and how to protect yourself | ZDNet. [online] ZDNet. Available at: <https://www.zdnet.com/…/log4j-zero-day-flaw-what-you…/> [Accessed 15 December 2021].- Hammond, J., 2021. CVE-2021-44228 – Log4j – MINECRAFT VULNERABLE! (and SO MUCH MORE). [online] YouTube. Available at: <https://www.youtube.com/watch?v=7qoPDq41xhQ> [Accessed 15 December 2021].