Công ty hạ tầng web Cloudfare thông báo vào hôm thứ tư rằng các tin tặc đang tích cực khai thác lỗ hổng thứ hai được phát hiện trong tiện ích Log4j nổi tiếng, điều này khiến cho người dùng phải nhanh chóng cài đặt phiên bản mới nhất khi liên tiếp các cuộc tấn công được thực hiện nhắm vào các hệ thống chưa được vá sử dụng nhiều loại mã độc khác nhau.
Lỗ hổng mới với định danh CVE-2021-45046, cho phép các tin tặc có thể thực hiện các cuộc tấn công từ chối dịch vụ (DoS) kể từ sau thông báo của Apache Software Foundation (ASF) rằng bản sửa lỗi ban đầu cho lỗ hổng thực thi mã từ xa CVE-2021-44228, còn được biết với tên gọi Log4Shell là “chưa hoàn chỉnh trong một số cấu hình không mặc định”. Vấn đề này đã được giải quyết trong phiên bản 2.16.0 của Log4j.
Chuyên gia của Cloudfare Andre Bluehs và Gabriel Gabor cho biết rằng:”Lỗ hổng này đang bị khai thác và bất cứ ai đang dùng Log4j nên cập nhật lên phiên bản 2.16.0 càng sớm càng tốt, kể cả nếu bạn đã cập nhật lên bản 2.15.0″.
Càng đáng lo ngại hơn rằng, các chuyên gia ở công ty an ninh mạng Praetorian cảnh báo về một lỗ hổng bảo mật thứ ba trong Log4j phiên bản 2.15.0 có thể “cho phép việc trích xuất dữ liệu nhạy cảm trong một vài trường hợp”. Chi tiết bổ sung về lỗ hổng này đã được giữ kín nhằm tránh việc bị khai thác thêm, tuy nhiên không rõ là vấn đề này đã được khắc phục ở bản 2.16.0 hay chưa.
Anthony Weems, kỹ sư an ninh trưởng của Praetorian chia sẻ với The Hacker News rằng: “Phiên bản 2.16 mặc định tắt JNDI, vì vậy đây là phiên bản Log4j an toàn nhất mà chúng tôi biết”. Sau khi liên lạc với Ban quản lý của Apache Logging Services (PMC), họ đã xác nhận rằng: “Chúng tôi đã liên lạc với kỹ sư của Praetorian để hiểu được hoàn toàn bản chất của vấn đề”.
Theo như các diễn biến mới nhất thì các nhóm tin tặc từ Trung Quốc, Iran, Bắc Triều Tiên và Thổ Nhĩ Kỳ, bao gồm cả Hafnium và Phosphorus đã nhảy vào cuộc chiến nhằm phát hiện và tiếp tục khai thác càng nhiều lỗ hổng càng tốt nhằm chuẩn bị cho các cuộc tấn công trong tương lai. Hơn 1,8 triệu lượt nỗ lực nhằm khai thác lỗ hổng của Log4j đã được ghi nhận.