พบช่องโหว่ในไลบรารี log4j ส่งผลให้แฮกเกอร์สั่งรันโค้ดจากระยะไกลได้

log4j-vulnerability

จากที่มีการพบช่องโหว่ใน Java logging ไลบรารี log4j หรือเรียกอีกชื่อว่า Log4Shell (หมายเลขช่องโหว่คือ CVE-2021-44228) ส่งผลให้แฮกเกอร์สั่งรันโค้ดจากระยะไกลเพื่อทำการโจมตีแบบ DDos หรือใช้เพื่อรันโปรแกรมขุดเงินคริปโตได้

Log4j เป็นไลบรารี Java โอเพ่นซอร์สที่ดูแลโดย Apache Software Foundation ซึ่งมีการดาวน์โหลดไปใช้งานประมาณ 475,000 ครั้ง และยังถูกนำไปใช้กันอย่างแพร่หลายใน enterprise apps และบริการ cloud 

ช่องโหว่นี้มีระดับความรุนแรงอยู่ในระดับ 10/10 ซึ่งส่งผลกระทบกับ Log4j 2.0-beta9 จนถึง 2.14.1

ในตอนนี้พบว่า บริการสำคัญๆ หลายๆ บริการเลยที่มีช่องโหว่นี้ ไม่ว่าจะเป็น Steam, Apple icloud หรือ Minecraft รวมไปถึงแอปที่ใช้งาน Apache Struts

จากรายงานของทีมรักษาความปลอดภัยของ Alibaba Cloud ถึง Apache เมื่อวันที่ 24 พฤศจิกายนที่ผ่านมาระบุว่าช่องโหว่นี้ส่งผลกระทบกับการตั้งค่า Default Configuration ของ Apache Frameworks หลายรายการ รวมถึง Apache Struts2, Apache Solr, Apache Druid, Apache Flink ตลอดจนรายการอื่นๆ

และในตอนนี้ได้มีการนำโค้ด PoC ไปเผยแพร่บน GitHub ทำให้เหล่าแฮกเกอร์พยายามสแกนหาเป้าหมายที่มีช่องโหว่นี้แล้ว

ดังนั้น เพื่อเป็นการป้องกันแนะนำให้ทำการอัปเดตเป็นเวอร์ชันล่าสุดคือ Log4j 2.15.0 สำหรับใครยังไม่สามารถอัปเดตเวอร์ชันได้ แนะนำให้ตั้งค่า log4j2.formatMsgNoLookups เป็น True หรือนำคลาส JndiLookup ออกจาก classpath (เฉพาะผู้ใช้งานเวอร์ชัน 2.10 ขึ้นไป)