Các lỗ hổng Log4j vẫn tồn tại — Bạn đã sẵn sàng chưa?

Lỗ hổng phổ biến xuất hiện lần đầu tiên trong Apache Log4j vào năm 2021 sẽ tiếp tục được khai thác, thậm chí có thể theo những cách tồi tệ hơn chúng ta từng thấy cho đến nay. Khía cạnh đáng lo ngại hơn của những mối đe dọa này là rất có thể chúng sẽ tiếp tục bị khai thác trong nhiều tháng hoặc nhiều năm trong tương lai.

Hội đồng Đánh giá An toàn Mạng của Bộ An ninh Nội địa ra mắt vào năm 2021 và vào năm 2022 đã ban hành báo cáo an toàn đầu tiên (PDF). Trong đó, hội đồng quản trị gọi Log4j là một “lỗ hổng đặc hữu”, chủ yếu là do không có “danh sách khách hàng” toàn diện cho Log4j, khiến việc theo dõi các lỗ hổng trở thành một nhiệm vụ gần như không thể. Một bộ phận Nội các liên bang thậm chí đã dành 33,000 giờ cho phản hồi Log4j của mình.

Và nhiều tổ chức và giải pháp bảo mật trên thị trường không xác định được sự khác biệt giữa khả năng khai thác và lỗ hổng bảo mật - tạo cơ hội cho kẻ tấn công thực hiện hoạt động độc hại.

Khả năng khai thác và lỗ hổng

Một trong những vấn đề chính của an ninh mạng ngày nay là hiểu được sự khác biệt giữa các lỗ hổng và mức độ nghiêm trọng của chúng. Khi nói đến việc đo lường khả năng khai thác so với lỗ hổng bảo mật, có sự khác biệt lớn giữa việc liệu mối đe dọa bảo mật có thể khai thác được trong doanh nghiệp của bạn hay không hay nó chỉ “dễ bị tổn thương” và không thể cản trở doanh nghiệp hoặc tiếp cận tài sản quan trọng. Các nhóm bảo mật dành quá nhiều thời gian để không hiểu sự khác biệt giữa hai lỗ hổng này và khắc phục từng lỗ hổng khi nó xuất hiện, thay vì ưu tiên những lỗ hổng có thể khai thác được.

Mọi công ty đều có hàng nghìn lỗ hổng và nguy cơ phổ biến (CVE), nhiều lỗ hổng trong số đó đạt điểm cao trên Hệ thống chấm điểm lỗ hổng bảo mật chung (CVSS), vì vậy không thể khắc phục tất cả. Để chống lại điều này, hy vọng rằng các công cụ quản lý lỗ hổng dựa trên rủi ro (RBVM) sẽ làm cho việc ưu tiên trở nên dễ dàng hơn bằng cách làm rõ những gì có thể khai thác được.

Tuy nhiên, các phương pháp ưu tiên bảo mật kết hợp điểm CVSS với thông tin về mối đe dọa RBVM không mang lại kết quả tối ưu. Ngay cả sau khi lọc và xem xét những gì có thể khai thác được, các nhóm bảo mật vẫn có quá nhiều việc phải xử lý vì danh sách dài và không thể quản lý được. Và chỉ vì CVE không có lỗ hổng hôm nay không có nghĩa là nó sẽ không có lỗ hổng vào tuần tới.

Để đáp lại, các công ty đã bổ sung AI dự đoán rủi ro, điều này có thể giúp người dùng hiểu liệu CVE có thể bị khai thác trong tương lai hay không. Điều này vẫn chưa đủ và dẫn đến quá nhiều vấn đề cần khắc phục. Hàng nghìn lỗ hổng vẫn có thể bị khai thác, nhưng nhiều lỗ hổng sẽ có các điều kiện khác phải được đáp ứng để thực sự khai thác được vấn đề.

Ví dụ với Log4j cần xác định các tham số sau:

• Thư viện Log4j dễ bị tấn công có tồn tại không?
• Nó có được tải bởi một ứng dụng Java đang chạy không?
• Tính năng tra cứu JNDI có được bật không?
• Java có lắng nghe các kết nối từ xa không và có kết nối nào với các máy khác không?

Nếu các điều kiện và tham số không được đáp ứng thì lỗ hổng này không nghiêm trọng và không được ưu tiên. Và ngay cả khi một lỗ hổng có thể bị khai thác trên máy thì sao? Máy đó có cực kỳ quan trọng hay có thể nó không được kết nối với bất kỳ tài sản quan trọng hoặc nhạy cảm nào?

Cũng có thể máy không quan trọng nhưng nó có thể cho phép kẻ tấn công tiếp tục tấn công các tài sản quan trọng theo những cách lén lút hơn. Nói cách khác, bối cảnh là chìa khóa - lỗ hổng này có nằm trên con đường tấn công tiềm ẩn đối với tài sản quan trọng không? Liệu có đủ để cắt bỏ lỗ hổng tại một điểm nghẽn (điểm giao nhau của nhiều đường tấn công) để ngăn đường tấn công tiếp cận một tài sản quan trọng không?

Các nhóm bảo mật ghét các quy trình dễ bị tổn thương và các giải pháp của họ, bởi vì ngày càng có nhiều lỗ hổng hơn - không ai có thể xóa sạch hoàn toàn phương tiện chặn. Nhưng nếu họ có thể tập trung vào những gì có thể tạo ra hư hại đến một tài sản quan trọng, họ có thể hiểu rõ hơn về nơi bắt đầu.

Chống lỗ hổng Log4j

Tin vui là việc quản lý lỗ hổng bảo mật thích hợp có thể giúp giảm thiểu và khắc phục nguy cơ gặp phải các cuộc tấn công tập trung vào Log4j bằng cách xác định nơi tồn tại nguy cơ khai thác tiềm ẩn.

Quản lý lỗ hổng bảo mật là một khía cạnh quan trọng của an ninh mạng và cần thiết để đảm bảo tính bảo mật và tính toàn vẹn của hệ thống và dữ liệu. Tuy nhiên, đây không phải là một quy trình hoàn hảo và các lỗ hổng vẫn có thể xuất hiện trong hệ thống mặc dù đã nỗ lực hết sức để xác định và giảm thiểu chúng. Điều quan trọng là phải thường xuyên xem xét và cập nhật các quy trình và chiến lược quản lý lỗ hổng để đảm bảo rằng chúng hiệu quả và các lỗ hổng được giải quyết kịp thời.

Trọng tâm của việc quản lý lỗ hổng không chỉ là bản thân các lỗ hổng mà còn phải có nguy cơ bị khai thác tiềm ẩn. Điều quan trọng là phải xác định những điểm mà kẻ tấn công có thể có được quyền truy cập vào mạng cũng như các đường dẫn chúng có thể thực hiện để xâm phạm các tài sản quan trọng. Cách hiệu quả và tiết kiệm chi phí nhất để giảm thiểu rủi ro của một lỗ hổng cụ thể là xác định mối liên hệ giữa các lỗ hổng, cấu hình sai và hành vi người dùng có thể bị kẻ tấn công khai thác và chủ động giải quyết các vấn đề này trước khi lỗ hổng bị khai thác. Điều này có thể giúp ngăn chặn cuộc tấn công và ngăn ngừa thiệt hại cho hệ thống.

Bạn cũng nên làm như sau:

• Vá: Xác định tất cả các sản phẩm dễ bị tấn công bởi Log4j. Việc này có thể được thực hiện thủ công hoặc bằng cách sử dụng máy quét mã nguồn mở. Nếu một bản vá có liên quan được phát hành cho một trong những sản phẩm dễ bị tấn công của bạn, hãy vá hệ thống càng sớm càng tốt.
• Cách giải quyết: Trên Log4j phiên bản 2.10.0 trở lên, trong dòng Java CMD, hãy đặt như sau: log4j2.formatMsgNoLookups=true
• Khối: Nếu có thể, hãy thêm quy tắc vào tường lửa ứng dụng Web của bạn để chặn: “jndi:”

Bảo mật hoàn hảo là một kỳ tích không thể đạt được, vì vậy không có lý do gì khiến sự hoàn hảo trở thành kẻ thù của điều tốt. Thay vào đó, hãy tập trung vào việc ưu tiên và khóa các đường tấn công tiềm ẩn để liên tục cải thiện tình trạng bảo mật. Việc xác định và thực tế về những gì thực sự dễ bị tổn thương so với những gì có thể khai thác có thể giúp thực hiện được điều này, vì nó sẽ cho phép khả năng phân bổ nguồn lực một cách chiến lược vào các lĩnh vực quan trọng quan trọng nhất.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/log4j-vulnerabilities-are-here-to-stay-are-you-prepared-