Bộ phim tri ân đến những kĩ sư đã vượt qua mọi khó khăn thách thức để xử lý lỗi bảo mật toàn cầu
Cuộc gọi lúc nửa đêm
GSC, head of security officer của Fxx, giật mình tỉnh dậy sau hàng loạt hồi chuông điện thoại réo liên hồi, anh với tay lấy chiếc điện thoại. Đã hơn 1h sáng (VN time), màn hình hiện lên hàng loạt cuộc gọi nhỡ.
Đầu số Palto Alto, Silicon Valley, US. Thật kì lạ, họ gọi gì vào giờ này??
Tôi là Tokuda Kimochi, Vice President of SPN, thật khiếm nhã khi gọi cho anh vào lúc midnight, nhưng đây là tình huống cực kì khẩn cấp, chúng tôi rất cần team của anh hỗ trợ chúng tôi, ngay bây giờ
Hàng loạt server instance đang bị Hacker lợi dụng lỗi bảo mật Log4shell tấn công. Khách hàng đã ra tối hậu thư, nếu không kịp thời fix lỗi trong 2 ngày, họ sẽ shutdown toàn bộ server. Chúng ta sẽ thiệt hại hàng triệu dollar.
Trong 24h qua, Team Dev đang nỗ lực với 200% sức lực để cập nhật bản patch cho ứng dụng. Nhưng họ không có kinh nghiệm về Infrastructure, CICD, chúng tôi rất cần các anh giúp sức trong đêm nay.
Copy that, never mind, chúng tôi sẽ xử lý ngay bây giờ
…..
Họp báo
Silicon Valley, 8h sáng PST time…Một cuộc họp báo được tổ chức với sự có mặt của nhiều hàng tin tức nổi tiếng như CNN, BBC..
Tham gia họp báo có đại diện các hãng công nghệ hàng đầu bao gồm Minecraft, Jenkins, JFrog, Apache…. Đây là những công ty sử dụng Java platform cho nền tảng của mình. Họ ra thông cáo về mức độ nghiêm trọng của sự kiện Log4shell
Daniel Beck, core maintainer, thành viên chính của Jenkins security team khẳng định
Jenkins security team xác nhận Log4J không được sử dụng trong Jenkins core, tuy nhiên một số plugin của Jenkins có thể sử dụng log4j
Jenkins core được sử dụng rộng rãi trong CICD infrastructure, automate development workflow, giúp quy trình CI, build, code analysis, test source code hoàn toàn tự động.
Thay vì Log4J, Jenkins sử dụng Java Utils Logging (JUL), nền tảng built-in logging của Java, một số dependencies và plugin sử dụng SLF4J
Hiểu đơn giản SLF4J là một API để ghi logs, một abstract layer cho một số loại logging framework như java.util.logging, logback hay log4J. Tức là end user sẽ không cần quan tâm đến việc phải trực tiếp sử dụng log framework nào cụ thể, mà chỉ cần gọi qua SLF4J API, SLF4J sẽ thực hiện phần còn lại
Senior Director Security Research expert Shachar Menashe của JFrog lên tiếng
Tôi xin nhắc lại, nhiều người còn chưa hiểu được Log4shell là gì và tính chất nghiêm trọng của nó.
The log4j-api is not vulnerable, only log4j-core is vulnerable.
JFrog đã published một blog mô tả đầy đủ về lỗi bảo mật log4shell, cả log4shell và shellshock là một remote code execution vulnerabilities ảnh hưởng đến hàng loạt các hệ thống. Log4Shell security rất khó phát hiện, vì nó thuộc lớp library, yêu cầu phải check trực tiếp/gián tiếp mọi dependencies. Nếu ai code Java project sẽ biết về pom file, file define toàn bộ các dependency để build ứng dụng.
Xin khẳng định rằng, không đơn thuần chỉ upgrade log4j là fix được lỗi, developer phải modify toàn bộ first-party code đang sử dụng log4j, ngoài ra, bản log4J mới yêu cầu cập nhật Java newer version. Đồng nghĩa với việc Developer phải upgrade Java component của họ, dẫn tới nhiều issue về không tương thích hệ thống. Bởi vì nhiều ứng dụng Legacy Java hiện nay đã hoạt động hàng chục năm họ vẫn code trên Java version cũ
Chà, thật là kinh khủng. Các nhà báo thốt lên
Chẳng có gì đáng lo ở đây cả, một tiếng nói vang lên. Mọi con mắt đổ dồn về một người đàn ông trung niên, CEO Nguyễn Tử Quảng
Server datacenter của BKAV có độ bảo mật cực kì cao, chúng tôi đã update version mới nhất của BKAV antivirus, có chức năng tự động shutdown server khi detect dc bất kì cuộc tấn công nào. Thách kẹo hacker luôn
Wow, amazing gút chop, thật không thể tin nổi, thật là tuyệt vời
Cả khán phòng trầm trồ, thán phục
Hệ thống của chúng tôi hoàn toàn không bị ảnh hưởng gì bởi lỗi bảo mật này, Shigeo Tokuda, CEO của JAV entertainment Japanese, mỉm cười với các nhà báo
JAV entertainment được phát triển trên JAVa platform, nhưng chúng tôi không sử dụng bất kì 3rd party library nào bao gồm cả log4J, toàn bộ JAV core được đội ngũ developer phát triển hoàn toàn from scratch. Team Dev của JAV có những kĩ sư cực kì talent như YUI Mikami, Eimi Fukada, họ là best of the best.
Một tràng vỗ tay tán thưởng vang lên gặp hội trường
Vào cuộc
3h sáng, FPT complex …
Kiểm tra Jenkins xem có vấn đề gì về log4J không??
Dạ không anh ơi, sáng nay, Jenkins đã announce chính thức trong họp báo, Jenkins core của họ không sử dụng log4J
OK, nhưng plugin có thể dính lỗi. Hệ thống CICD của chúng ta sư dụng khá nhiều plugin đấy
Em vừa chạy groovy script trên console rồi, không có
org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource
Báo cáo, phát hiện một số issue liên quan đến JFrog. JFrog là artifactory repository, nơi lưu trữ toàn bộ các bản build của source code. Với hơn 500K artifact binary và hơn 1000 artifact được upload mỗi ngày
Dùng Xray watch to alert on usage of a vulnerable log4j package đi
Báo cáo, vừa dùng Xray Ancestors để tìm malicious artifact log4j , phát hiện một số impacted artifacts
Xử lý gấp đi
Scan toàn bộ domain bằng tool Log4J-RCE_Scanner để xem có phát hiện remote command execution vulnerability CVE-2021-44228
Báo cáo, không phát hiện gì cả.
Vừa nhận được một ticket từ Backend team, họ báo có sự cố nghiêm trọng với Artifactory
Màn hình email được show lên trên màn hình lớn
Toàn team như chết lặng
Vụ này lớn rồi đây, làm sao bây giờ??
(Còn tiếp)
0 Nhận xét