Lỗ hổng "Log4shell" mới trên các dịch vụ đám mây khiến dữ liệu của người dùng gặp nguy hiểm
Pnghuy
6 thángBình luận: 15
Lỗ hổng "Log4shell" mới trên các dịch vụ đám mây khiến dữ liệu của người dùng gặp nguy hiểm
Công ty bảo mật LunaSec cho biết họ vừa phát hiện ra một lỗ hổng trên hệ thống máy chủ của các dịch vụ đám mây như iCloud, Steam...có tên là Log4shell. Lỗ hổng này nếu như bị hacker khai thác sẽ khiến các hệ thống máy chủ của các dịch vụ này bị tấn công, dữ liệu của người dùng nhiều khả năng sẽ bị đánh cắp, mà dịch vụ đám mây từ các hãng như Apple, Google, Valve hay Amazon đang có hàng tỷ người dùng trên toàn thế giới.

Lỗ hổng này lần đầu tiên được tìm thấy trong log4j, một thư viện mã nguồn mở được sử dụng bởi nhiều trang web và ứng dụng để ghi nhật ký (log) - đó là quá trình lưu giữ danh sách các hoạt động đã thực hiện để xem xét, sau đó để sửa lỗi hoặc các lỗi khác nếu cần.

Theo nhà nghiên cứu bảo mật Marcus Hutchins, Log4Shell có thể ảnh hưởng đến hàng triệu ứng dụng trên khắp thế giới vì thư viện log4j được các nhà phát triển sử dụng rộng rãi. Để khai thác lỗ hổng, tin tặc cần lưu một chuỗi đặc biệt (special string) với các ký tự cụ thể trong log. "Vì các ứng dụng thường ghi log một loạt các sự kiện - chẳng hạn như tin nhắn do người dùng gửi và nhận, hoặc chi tiết về lỗi hệ thống - lỗ hổng bảo mật rất dễ khai thác và có thể được kích hoạt theo nhiều cách khác nhau."

Việc khai thác Log4Shell gần đây đã được nhìn thấy trên các máy chủ Minecraft, nơi tin tặc đã sử dụng lỗ hổng thông qua các tin nhắn trò chuyện. LunaSec tuyên bố rằng iCloud của Apple và nhiều dịch vụ cloud khác cũng dễ bị khai thác. Những kẻ tấn công thậm chí có thể kích hoạt mã độc thông qua mã QR, điều này làm cho việc khai thác thậm chí còn nguy hiểm hơn.

Hiện tại Google, Apple, Microsoft hay Amazon...đều chưa đưa ra các bình luận về lỗ hổng này, nhưng chắc chắn các bản vá sẽ được tung ra trong thời gian sớm nhất.

Theo 9to5Mac.
15 bình luận
iolna
TÍCH CỰC
6 tháng
Thảo nào lên twitter chúng nó đăng 1 loạt toàn ảnh log 😟
Nếu mà Log4J thì không chỉ các nền tảng đám mây đâu, mà hệ thống ngân hàng, hệ thống chính phủ, các hệ thống doanh nghiệp… dùng Java làm ngôn ngữ phát triển ứng dụng rất nhiều, mà nếu dùng Java thì khả năng dùng log4j là rất cao.
Nguy hiểm thật
Vá sớm chứ không toang hết thì khổ.😂
@BinBon2020 Thực ra đã có bản vá 2.15.0 hoặc giảm thiểu thiệt hại bằng cách cấu hình lại log4j2
Bên mình chuyển sang slf4j rồi 😁
@bango123 người dùng làm sao chuyển vậy bác nhỉ
@nospecial Cái này chỉ có mấy ông làm phần mềm can thiệp thôi bạn
Kahny La
TÍCH CỰC
6 tháng
java có vẻ nhiều lỗ nhỉ
@Kahny La Java ngày xưa (Java 6, 7) lỗ còn từ phía Java chứ không hẳn thư viện đâu bác. Mà giờ đỡ rồi
Lỗ hổng từ phía thư viện nhiều nền tảng khác cũng bị mà, đặc biệt là NodeJS
Kahny La
TÍCH CỰC
6 tháng
@bango123 v mà hệ thống ngân hàng, thuế đặc biệt thích dùng java
@Kahny La Hệ sinh thái Java phát triển hơn 20 năm và vô cùng rộng nên làm app, solution gì cũng có thể làm được với Java cả. Còn chuyện lỗ hổng thì nền tảng nào cũng dính thôi. Cộng đồng càng đông thì vá càng nhanh
chặn ở proxy như nginx thôi. Rồi sửa code dần dần. Chả có gì
@ncn_nguyen Bên tôi Web Firewall thêm rule mới để chặn case này rồi 😁
Read Only
ĐẠI BÀNG
5 tháng
Gay quá, có ít ảnh với video nóng trên mây, hi vọng không bị chôm cho lên web xxx
Cười vui vẻ








  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2022 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019