Apache Log4j: lỗ hổng bảo mật nghiêm trọng được cảnh báo

Thông báo được gửi đến đơn vị chuyên trách về CNTT các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; Các Tập đoàn, Tổng công ty nhà nước; các ngân hàng TMCP; các tổ chức tài chính và hệ thống các đơn vị chuyên trách về ATTT.

Theo Cục ATTT, ngày 09/12/2021 vừa qua, mã khai thác của lỗ hổng tồn tại trong Apache Log4j đã được công khai rộng rãi trên Internet. Lỗ hổng này ảnh hưởng đến Apache Log4j phiên bản từ 2.0 đến 2.14.1, cho phép đối tượng tấn công thực thi mã từ xa.

Apache Log4j là một thư viện ghi log trong Java, tồn tại trong nhiều ứng dụng hiện nay được sử dụng phổ biến trong các hệ thống thông tin của cơ quan, tổ chức và doanh nghiệp lớn.

Vì vậy, theo đánh giá của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), Cục ATTT, lỗ hổng này khá nghiêm trọng và có mức độ ảnh hưởng lớn.

Nhằm đảm bảo ATTT cho hệ thống thông tin của các đơn vị, góp phần bảo đảm bảo an toàn cho không gian mạng Việt Nam, Cục ATTT khuyến nghị các đơn vị thực hiện: Kiểm tra, rà soát và xác minh hệ thống thông tin có sử dụng Apache Log4j và cần cập nhật lên phiên bản mới nhất (log4j-2.15.0-rc2) để khắc phục lỗ hổng bảo mật nói trên cũng như các lỗ hổng bảo mật mới phát hiện khác.

Đồng thời, Cục ATTT cũng khuyến nghị nâng cấp các ứng dụng và thành phần liên quan có khả năng bị ảnh hưởng (ví dụ như srping-boot-strater-log4j2, Apache Solr, Apache Flink, Apache Druid,...).

Trong trường hợp chưa thể nâng cấp, các đơn vị có thể sử dụng biện pháp khắc phục thay thế bằng cách thêm –Dlog4j2.formatMsgNoLookups=true trong JVM args.

Cục ATTT khuyến nghị các đơn vị tăng cường giám sát và sẵn sàng phương án xử lý khi phát hiện có dấu hiệu bị khai thác, tấn công mạng; đồng thời thường xuyên theo dõi kênh cảnh báo của các cơ quan chức năng và các tổ chức lớn về ATTT để phát hiện kịp thời các nguy cơ tấn công mạng.

Trong trường hợp cần hỗ trợ, các đơn vị liên hệ đầu mối hỗ trợ là NCSC thuộc Cục ATTT./.