Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA) trực thuộc Bộ An ninh Nội địa Mỹ mới đây đã đưa ra cảnh báo khẩn cấp về lỗ hổng mang tên Log4Shell trên phần mềm Apache Log4j và thúc giục các doanh nghiệp sớm có hành động khắc phục. Ngày 11/12, Giám đốc CISA Jen Easterly thông báo: “Lỗ hổng này đem lại nguy cơ nghiêm trọng và cần sự hợp tác giữa chính phủ Mỹ và khu vực tư nhân để giảm tối thiểu thiệt hại”.
Bên cạnh Mỹ, cơ quan an ninh mạng của Đức và Australia cũng đã phát cảnh báo khẩn về Log4Shell.
Các nhà nghiên cứu an ninh mạng nói rằng lỗ hồng nằm trong phần mềm Log4j là một trong những hiểm họa lớn nhất trong vài năm trở lại đây, chủ yếu do phần mềm này được sử dụng vô cùng rộng rãi trên các mạng nội bộ doanh nghiệp. Log4j được cài đặt trên các máy chủ để ghi lại hoạt động của người dùng nhằm phục vụ mục đích giám sát và bảo mật.
Giới hacker bắt đầu mạnh tay khai thác Log4Shell vào ngày 10/12. Trong khoảng 24 tiếng, công ty bảo mật Check Point cho biết đã phát hiện hơn 100.000 lần thử khai thác lỗ hổng này, khoảng một nửa trong số đó là từ các hacker mang ý đồ xấu. Phần còn lại là từ các nhà nghiên cứu an ninh mạng hoặc nhân viên chính phủ kiểm tra lại hạ tầng mạng quốc gia.
Một nhà nghiên cứu người Hà Lan tên Cas van Cooten nói rằng anh đã phát hiện lỗ hổng Log4Shell trên các máy chủ của Apple và ngay sau đó đã báo lại vấn đề cho Apple. Một nhà nghiên cứu khác là Carson Owlett từ công ty bảo mật Black Mirage nói rằng các chuyên gia tư vấn làm việc với công ty đã phát hiện ra lỗ hổng trên hệ thống của nhiều công ty khác, bao gồm cả Twitter và LinkedIn.
Theo các chuyên gia, có thể mất nhiều tuần hoặc lâu hơn để đánh giá đầy đủ thiệt hại do lỗ hổng này. Bên cạnh đó, các hacker lợi dụng lỗ hổng đã có thể truy cập dữ liệu nhạy cảm trên nhiều mạng nội bộ và cài đặt backdoor nhằm duy trì khả năng truy cập, ngay cả khi lỗ hổng đã được sửa chữa. Tuy vậy, nhiều công ty cũng đã có sẵn quy trình nhằm ngăn chặn hacker và giảm thiểu rủi ro từ lỗ hổng này.
Microsoft đã gửi cảnh báo cho khách hàng và nói rằng “các hacker đang tìm kiếm mọi thiết bị cuối mang lỗ hổng này”. Amazon, Twitter và Cisco cũng thông báo đang tiến hành điều tra và theo dõi nguy cơ bảo mật từ Log4Shell. Riêng Cisco cho biết đã xem xét 150 sản phẩm và kết luận rằng 23 trong số đó không mang rủi ro từ lỗ hổng này. Trong khi đó, các nhà cung cấp phần mềm có sử dụng Log4j trong sản phẩm, bao gồm Red Hat, Oracle và VMware thông báo đang phát hành bản vá phần mềm.
Lỗ hổng Log4Shell được thông báo cho nhóm phát triển Log4j từ cuối tháng 11. Nhóm này bắt đầu cảnh báo cho cộng đồng người dùng về lỗ hổng từ ngày 9/12. Theo Ralph Goers, một lập trình viên tình nguyện của nhóm phát triển, vì Log4j được phân phối miễn phí nên nhóm chưa xác định rõ ràng số lượng máy chủ bị ảnh hưởng. Do đó các tổ chức sử dụng Log4j cần nhanh chóng nâng cấp phần mềm nhằm giảm thiểu nguy cơ bị xâm nhập.
Đây không phải là lần đầu tiên một phần mềm mã nguồn mở gây ra nguy cơ đáng kể về bảo mật trên quy mô toàn cầu. Vào năm 2014, người dùng Internet khắp thế giới đã được khuyến nghị đổi nhiều mật khẩu sau khi một lỗ hổng tên Heartbleed được phát hiện trong OpenSSL, một thư viện phần mềm được sử dụng rộng rãi trong các máy chủ Internet.
Tùng Phong (Theo Wall Street Journal)