Theo AP, Log4Shell được tìm thấy trong file log4j, tập tin ghi lại nhật ký hoạt động (log) của các ứng dụng thường dùng để truy vết lỗi. Đến nay, hầu hết các hệ thống bảo mật đều có một file nhật ký như vậy. Log4j nằm trong phần mềm mã nguồn mở do Apache phát hành.
Các chuyên gia khuyến cáo, thông qua lỗ hổng, kẻ tấn công có thể truy cập vào máy chủ web mà không cần mật khẩu. Hacker sau đó có thể thâm nhập vào các mạng nội bộ, đánh cắp dữ liệu có giá trị, cài đặt phần mềm độc hại, xóa thông tin quan trọng...
Log4j được sử dụng trên hàng loạt máy chủ khắp thế giới. Nhóm ứng cứu khẩn cấp máy tính của New Zealand là một trong những tổ chức đầu tiên phát hiện Log4Shell đang bị "khai thác tích cực". Theo nhóm này, lỗ hổng lần đầu được phát hiện ngày 24/11 trên hệ thống của Alibaba. Phải mất 2 tuần, công ty thương mại điện tử này mới sửa lỗi thành công.
Minecraft - trò chơi phổ biến của Microsoft - cũng là một trong số những "nạn nhân" của Log4Shell. Đại diện tập đoàn phần mềm Mỹ sau đó khẳng định người dùng vẫn được bảo vệ và hãng cũng đã phát hành bản cập nhật cho trò chơi.
Amit Yoran, CEO công ty an ninh mạng Tenable, đánh giá Log4Shell là "lỗ hổng bảo mật lớn nhất, nghiêm trọng nhất thập kỷ qua". Trong khi đó, tổ chức giám sát sự phát triển của phần mềm Apache Software Foundation xếp hạng lỗ hổng 10/10 điểm, tức ở mức nguy hiểm nhất.
"Internet đang 'bùng cháy' ngay lúc này. Các bên đang nỗ lực vá Log4Shell, và cũng có những nhóm tích cực khai thác lỗ hổng", Adam Meyers, Phó chủ tịch công ty an ninh mạng Crowdstrike, nói.
Apache đã cập nhật log4j. Thiệt hại liên quan đến Log4Shell chưa được công bố. "Hàng triệu máy chủ có thể chứa lỗ hổng Log4Shell. Thiệt hại có thể được phơi bày trong vài ngày tới", Joe Sullivan, Giám đốc an ninh của Cloudflare, cho biết.
Sullivan xác nhận có dấu hiệu cho thấy máy chủ công ty bị xâm phạm. Trong khi đó, các bên cũng được cho là bị ảnh hưởng như Apple, Amazon và Twitter chưa đưa ra bình luận.
Chuyên gia nghiên cứu bảo mật Marcus Hutchins, người từng có công chặn mã độc tống tiền WannaCry nổi tiếng trước đây, cho rằng mức độ nguy hiểm của cả hai là như nhau. Người này khuyến cáo các công ty nên có giải pháp để tránh hệ thống của mình bị lây nhiễm.
Bảo Lâm tổng hợp