Giaosucan's blog - Chia sẻ kiến thức theo cách bá đạo

Ticker

20/recent/ticker-posts

Log4shell - cơn ác mộng toàn cầu - part 2

 Hackers start pushing malware in worldwide Log4Shell attacks


Bộ phim tri ân đến những kĩ sư đã vượt qua mọi khó khăn thách thức để xử lý lỗi bảo mật toàn cầu


Part 1


Cuộc gọi lúc nửa đêm

GSC, head of security officer của Fxx, giật mình tỉnh dậy sau hàng loạt hồi chuông điện thoại réo liên hồi, anh với tay lấy chiếc điện thoại. Đã hơn 1h sáng (VN time), màn hình hiện lên hàng loạt cuộc gọi nhỡ.

Đầu số Palto Alto, Silicon Valley, US. Thật kì lạ, họ gọi gì vào giờ này??

Tôi là Tokuda Kimochi, Vice President of SPN, thật khiếm nhã khi gọi cho anh vào lúc midnight, nhưng đây là tình huống cực kì khẩn cấp, chúng tôi rất cần team của anh hỗ trợ chúng tôi, ngay bây giờ

Hàng loạt server instance đang bị Hacker lợi dụng lỗi bảo mật Log4shell tấn công. Khách hàng đã ra tối hậu thư, nếu không kịp thời fix lỗi trong 2 ngày, họ sẽ shutdown toàn bộ server. Chúng ta sẽ thiệt hại hàng triệu dollar.

Trong 24h qua, Team Dev đang nỗ lực với 200% sức lực để cập nhật bản patch cho ứng dụng. Nhưng họ không có kinh nghiệm về Infrastructure, CICD, chúng tôi rất cần các anh giúp sức trong đêm nay.

Copy that, never mind, chúng tôi sẽ xử lý ngay bây giờ

…..


Họp báo

Silicon Valley, 8h sáng PST time…Một cuộc họp báo được tổ chức với sự có mặt của nhiều hàng tin tức nổi tiếng như CNN, BBC..

Tham gia họp báo có đại diện các hãng công nghệ hàng đầu bao gồm Minecraft, Jenkins, JFrog, Apache…. Đây là những công ty sử dụng Java platform cho nền tảng của mình. Họ ra thông cáo về mức độ nghiêm trọng của sự kiện Log4shell

Daniel Beck, core maintainer, thành viên chính của Jenkins security team khẳng định

Jenkins security team xác nhận Log4J không được sử dụng trong Jenkins core, tuy nhiên một số plugin của Jenkins có thể sử dụng log4j

Jenkins core được sử dụng rộng rãi trong CICD infrastructure, automate development workflow, giúp quy trình CI, build, code analysis, test source code hoàn toàn tự động. 

Thay vì Log4J, Jenkins sử dụng Java Utils Logging (JUL), nền tảng built-in logging của Java, một số dependencies và plugin sử dụng SLF4J

click to enlarge

Hiểu đơn giản SLF4J là một API để ghi logs, một abstract layer cho một số loại logging framework như java.util.logging, logback hay log4J. Tức là end user sẽ không cần quan tâm đến việc phải trực tiếp sử dụng log framework nào cụ thể, mà chỉ cần gọi qua SLF4J API, SLF4J sẽ thực hiện phần còn lại

Senior Director Security Research expert Shachar Menashe của JFrog lên tiếng

Tôi xin nhắc lại, nhiều người còn chưa hiểu được Log4shell là gì và tính chất nghiêm trọng của nó. 

The log4j-api is not vulnerable, only log4j-core is vulnerable.

JFrog đã published một blog mô tả đầy đủ về lỗi bảo mật log4shell, cả log4shell và shellshock là một remote code execution vulnerabilities ảnh hưởng đến hàng loạt các hệ thống. Log4Shell security rất khó phát hiện, vì nó thuộc lớp library, yêu cầu phải check trực tiếp/gián tiếp mọi dependencies. Nếu ai code Java project sẽ biết về pom file, file define toàn bộ các dependency để build ứng dụng. 

ApacheLog4j Remote Code Execution Vulnerability (CVE-2021-44228) Threat  Alert - NSFOCUS, Inc., a global network and cyber security leader, protects  enterprises and carriers from advanced cyber attacks.

Xin khẳng định rằng, không đơn thuần chỉ upgrade log4j là fix được lỗi, developer phải modify toàn bộ first-party code đang sử dụng log4j, ngoài ra, bản log4J mới yêu cầu cập nhật Java newer version. Đồng nghĩa với việc Developer phải upgrade Java component của họ, dẫn tới nhiều issue về không tương thích hệ thống. Bởi vì nhiều ứng dụng Legacy Java hiện nay đã hoạt động hàng chục năm họ vẫn code trên Java version cũ

Chà, thật là kinh khủng. Các nhà báo thốt lên

Chẳng có gì đáng lo ở đây cả, một tiếng nói vang lên. Mọi con mắt đổ dồn về một người đàn ông trung niên, CEO Nguyễn Tử Quảng

Server datacenter của BKAV có độ bảo mật cực kì cao, chúng tôi đã update version mới nhất của BKAV antivirus, có chức năng tự động shutdown server khi detect dc bất kì cuộc tấn công nào. Thách kẹo hacker luôn

Wow, amazing gút chop, thật không thể tin nổi, thật là tuyệt vời

Cả khán phòng trầm trồ, thán phục

Hệ thống của chúng tôi hoàn toàn không bị ảnh hưởng gì bởi lỗi bảo mật này, Shigeo Tokuda, CEO của JAV entertainment Japanese, mỉm cười với các nhà báo 


Shigeo Tokuda (thangvinh060) - Hồ sơ | Pinterest

JAV entertainment được phát triển trên JAVa platform, nhưng chúng tôi không sử dụng bất kì 3rd party library nào bao gồm cả log4J, toàn bộ JAV core được đội ngũ developer phát triển hoàn toàn from scratch. Team Dev của JAV có những kĩ sư cực kì talent như YUI Mikami, Eimi Fukada, họ là best of the best.

Một tràng vỗ tay tán thưởng vang lên gặp hội trường

Vào cuộc

3h sáng, FPT complex …

Kiểm tra Jenkins xem có vấn đề gì về log4J không??

Dạ không anh ơi, sáng nay, Jenkins đã announce chính thức trong họp báo, Jenkins core của họ không sử dụng log4J

OK, nhưng plugin có thể dính lỗi. Hệ thống CICD của chúng ta sư dụng khá nhiều plugin đấy

Em vừa chạy groovy script trên console rồi, không có

org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource


Báo cáo, phát hiện một số issue liên quan đến JFrog. JFrog là artifactory repository, nơi lưu trữ toàn bộ các bản build của source code. Với hơn 500K artifact binary và hơn 1000 artifact được upload mỗi ngày

Dùng Xray watch to alert on usage of a vulnerable log4j package đi


Báo cáo, vừa dùng Xray Ancestors để tìm malicious artifact log4j , phát hiện một số impacted artifacts 

Xử lý gấp đi

Scan toàn bộ domain bằng tool Log4J-RCE_Scanner để xem có phát hiện remote command execution vulnerability CVE-2021-44228

Báo cáo, không phát hiện gì cả.

Vừa nhận được một ticket từ Backend team, họ báo có sự cố nghiêm trọng với Artifactory 

Màn hình email được show lên trên màn hình lớn

Toàn team như chết lặng

Vụ này lớn rồi đây, làm sao bây giờ??


(Còn tiếp)


Đăng nhận xét

0 Nhận xét