Apache Log4j là thư viện ghi log (nhật ký hoạt động) trong Java, tồn tại trong nhiều ứng dụng hiện nay và được sử dụng phổ biến trong các hệ thống thông tin của cơ quan, tổ chức và doanh nghiệp lớn tại Việt Nam.
Theo cảnh báo từ Cục An toàn thông tin - Bộ Thông tin và Truyền thông, lỗ hổng có tên Log4Shell - mới được phát hiện trong Apache Log4j phiên bản từ 2.0 đến 2.14.1 - cho phép kẻ xấu thực hiện các cuộc tấn công thực thi mã từ xa. Ngày 9/12, mã khai thác của Log4Shell đã được công khai trên Internet.
"Lỗ hổng này nghiêm trọng và có mức độ ảnh hưởng lớn", Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), thuộc Cục An toàn thông tin cho biết.
Mức độ nghiêm trọng của lỗ hổng được nhiều chuyên gia bảo mật trên thế giới cảnh báo. Amit Yoran, CEO công ty an ninh mạng Tenable, đánh giá Log4Shell là "lỗ hổng bảo mật lớn nhất, nghiêm trọng nhất thập kỷ qua". Trong khi đó, tổ chức giám sát sự phát triển của phần mềm Apache Software Foundation xếp hạng lỗ hổng 10/10 điểm, tức ở mức nguy hiểm nhất.
Theo công ty bảo mật Checkpoint, Log4j là thư viện ghi log Java phổ biến nhất thế giới với hơn 400.000 lượt tải xuống từ GitHub. Sản phẩm này được nhiều công ty trên thế giới sử dụng, như Twitter, Amazon, Microsoft, Apple. Việc khai thác lỗ hổng được các chuyên gia nhận định là "rất đơn giản", cho phép kẻ tấn công kiểm soát các máy chủ web dựa trên Java, từ đó thực thi mã từ xa. Công ty bảo mật này cũng ghi nhận nhiều trường hợp khai thác lỗ hổng Log4Shell để tấn công và mục tiêu là tiền điện tử của các nạn nhân.
Checkpoint cũng cho biết, kể từ khi được công bố, khoảng 40% hệ thống mạng của các công ty trên toàn cầu bị tin tặc nhắm đến để khai thác lỗ hổng nói trên. Mỗi phút có hơn 100 cuộc tấn công được ghi nhận.
Cục An toàn thông tin khuyến cáo các đơn vị kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j. Các hệ thống này cần cập nhật phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục lỗ hổng, đồng thời nâng cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng như srping-boot-strater-log4j2, Apache Solr, Apache Flink, Apache 2 Druid,...
Lưu Quý