Tags:
Node Thumbnail

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

สำหรับการป้องกันผ่านไฟร์วอลล์ตอนนี้ผู้ให้บริการ Web Application Firewall (WAF) หลายรายเพิ่มกฎตรวจสอบการโจมตีแล้ว เช่น Cloudflare, AWS WAF บางแห่งอาจจะเปิดใช้กฎเหล่านี้ให้เองหากเปิด WAF เอาไว้ หรือในกรณี WAF แบบติดตั้งในองค์กรก็มีผู้ผลิตออกอัพเดตให้แล้ว เช่น F5/NGINX นอกจากนี้ทาง Cloudflare ยังออกมาประกาศว่าจะป้องกันการโจมตีนี้ให้ผู้ใช้ Cloudflare แม้จะไม่ได้เปิด WAF ไว้ก็ตาม แต่ก็ขอให้ลูกค้าทุกคนเร่งแพตช์ช่องโหว่โดยเร็ว

ทาง Cybereason ใช้วิธีต่างออกไป คือการออกสคริปต์โจมตีช่องโหว่นี้เสียเองแต่เป็นการโจมตีเพื่อเข้าไปคอนฟิก log4j ระหว่างรันให้ปิดการทำงาน message lookup เสีย เพื่อปิดช่องโหว่นี้ไป เป็นเหมือนกับการฉีดวัคซีนให้ซอฟต์แวร์ เพราะเจอกับสิ่งที่คล้ายเชื้อโรคแต่ช่วยป้องกันโรคจริงๆ ให้

No Description

ตัวอย่างโค้ดที่มีช่องโหว่เนื่องจาก log อินพุตจากผู้ใช้ (ค่า user-agent จากเบราว์เซอร์) โดย LunaSec

Get latest news from Blognone

Comments

By: big50000
AndroidSUSEUbuntu
on 12 December 2021 - 21:39 #1234194
big50000's picture

ทาง Cybereason ใช้วิธีต่างออกไป คือการออกสคริปต์โจมตีช่องโหว่นี้เสียเองแต่เป็นการโจมตีเพื่อเข้าไปคอนฟิก log4j ระหว่างรันให้ปิดการทำงาน message lookup เสีย เพื่อปิดช่องโหว่นี้ไป เป็นเหมือนกับการฉีดวัคซีนให้ซอฟต์แวร์ เพราะเจอกับสิ่งที่คล้ายเชื้อโรคแต่ช่วยป้องกันโรคจริงๆ ให้

ไม่ได้เห็นทฤษฎีนี้มานานขนาดไหนแล้วนะ ไวรัสฝั่งดีเนี่ย...