Một lỗ hổng bảo mật lớn được phát hiện trong một phần mềm có tên Log4j mà hàng triệu máy chủ web trên khắp thế giới sử dụng. Lỗi này khiến máy chủ dễ bị tấn công và các nhóm quản trị mạng trên khắp thế giới nỗ lực tìm cách vá các hệ thống mạng trước khi tin tặc có thể khai thác. Chuyên gia an ninh mạng Adam Meyers thuộc công ty bảo mật Crowdstrike cho biết: “Internet đang bùng cháy “.

Vấn đề với Log4j lần đầu tiên được phát hiện trong trò chơi điện tử Minecraft, nhanh chóng cho thấy có nguy cơ lớn hơn rất nhiều. Phần mềm được hàng triệu ứng dụng web sử dụng, trong đó có iCloud của Apple. Crowdstrike cho biết, các cuộc tấn công khai thác lỗ hổng bảo mật này, được gọi là các cuộc tấn công Log4Shell, đã diễn ra từ trước ngày 9/12.

Giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ, Jen Easterly cho biết, lỗ hổng bảo mật gây lên "rủi ro nghiêm trọng" cho internet. Bà cho rằng, lỗ hổng này đang bị tin tặc khai thác rộng rãi, hình thành một mối đe dọa lớn và cấp bách đối với an ninh mạng.

Hầu hết mọi phần mềm đang sử dụng sẽ lưu giữ lại nhật ký những bản ghi lỗi và các sự kiện quan trọng khác nhau. Nhiều nhà phát triển phần mềm không tự code hệ thống ghi nhật ký mà dùng phần mềm mã nguồn mở Log4j, khiến phần mềm trở thành một trong những gói ghi nhật ký phổ biến nhất trên thế giới. Sự phổ biến của Log4j hiện trở thành vấn đề an ninh toàn cầu. Lỗ hổng này ảnh hưởng đến hàng triệu phần mềm, chạy trên hàng triệu máy chủ mà toàn thế giới tương tác trên mạng internet.

Những tội phạm mạng có thể lừa Log4j chạy mã độc hại bằng cách buộc phần mềm lưu trữ mục nhật ký một chuỗi văn bản cụ thể. Cách hacker thực hiện những thủ đoạn khác nhau, thay đổi theo các chương trình, nhưng trong Minecraft, thủ đoạn này được thực hiện thông qua các box trò chuyện.

Một mục nhật ký được tạo để lưu trữ những thông báo này, nếu chuỗi văn bản nguy hiểm được gửi từ người dùng này sang người dùng khác, văn bản sẽ cấy vào nhật ký.

Trong một trường hợp khác, các máy chủ của Apple tạo một mục nhật ký ghi lại tên mà chủ nhân đặt cho iPhone trong phần cài đặt. Thực hiện thủ thuật này, hacker có thể chạy bất kỳ mã độc trên máy chủ, cho phép đánh cắp hoặc xóa dữ liệu nhạy cảm.

Phần mềm nguồn mở có thể được xem, chạy và thậm chí có thể kiểm tra và cân chỉnh bởi bất kỳ ai. Sự minh bạch này làm cho phần mềm trở nên mạnh và an toàn hơn, vì được nhiều người thực hiện. Nhưng không có phần mềm nào đảm bảo an toàn tuyệt đối.

Khả năng kích hoạt cuộc tấn công Log4Shell đã có trong mã từ khá lâu, nhưng mới được một nhà nghiên cứu bảo mật tại công ty điện toán Alibaba Cloud của Trung Quốc phát hiện vào cuối tháng trước. Chuyên gia bảo mật báo cáo vấn đề ngay lập tức với Apache Software Foundation, tổ chức phi lợi nhuận của Mỹ, giám sát hàng trăm dự án mã nguồn mở bao gồm Log4j, để có thời gian khắc phục sự cố trước khi lỗi được công bố công khai.

Hành động có trách nhiệm này là thông lệ tiêu chuẩn đối với các lỗi phần mềm, nhưng một số thợ săn lỗi cũng có thể bán thông tin các lỗ hổng đó cho tin tặc, cho phép tội phạm mạng âm thầm sử dụng trong nhiều tháng hoặc nhiều năm sự kiện - kể cả những phần mềm gián điệp, bán cho các chính phủ trên thế giới.

Apache đã xếp hạng lỗ hổng này ở mức “nghiêm trọng” và gấp rút phát triển một giải pháp khắc phục. Hiện hàng trăm nghìn nhóm bảo mật CNTT đang nỗ lực cập nhật Log4j lên phiên bản 2.15.0, phát hành trước khi lỗ hổng bảo mật được công khai và tìm cách khắc phục sự cố. Các đội CNTT cũng rà soát kỹ lưỡng mã code của mình, phát hiện các lỗ hổng tiềm ẩn và tìm kiếm và theo dõi các nỗ lực tấn công.

Các bản vá lỗi khắc phục những sự cố như thế này sẽ nhanh chóng được cung cấp, đặc biệt là khi được thông báo có trách nhiệm cho nhóm phát triển, nhưng toàn thế giới phải mất thời gian để áp dụng. Máy tính và những dịch vụ web rất phức tạp, được xếp thành nhiều lớp với hàng chục cấp độ trừu tượng xếp chồng lên nhau, mã chạy trên các lớp mã, yêu cầu đến hàng tháng để cập nhật tất cả máy chủ và dịch vụ.

Nhiều ngóc ngách của Internet có những phần cứng cũ với các mã cũ, không được cập nhật, có thể bị tội phạm mạng khai thác dễ dàng và tổ chức tấn công.