Elastic ออกอัพเดต Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 แล้วเมื่อช่วงปลายเดือนธันวาคม โดยจุดสำคัญของเวอร์ชันนี้คืออัพเดต Apache Log4j เป็นเวอร์ชันใหม่เพื่อแก้ช่องโหว่ Log4Shell ที่เป็นข่าวในช่วงต้นเดือนธันวาคมที่ผ่านมา

สำหรับตัว Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 มีอัพเดตแก้ไขดังนี้

กระทรวงอุตสาหกรรมและเทศโนโลยีสารสนเทศ (Ministry of Industry and Information Technology - MIIT) ของจีนหยุดความร่วมแชร์ภัยไซเบอร์กับ Alibaba Cloud เป็นระยะเวลาอย่างน้อยหกเดือน เนื่องจากไม่พอใจที่ Alibaba Cloud ไม่ได้แจ้งช่องโหว่ Log4j ให้รัฐบาลทราบล่วงหน้า โดย MIIT ระบุว่ารู้ข่าวช่องโหว่นี้จากช่องทางอื่น ไม่ใช่ Alibaba Cloud ที่เป็นผู้พบช่องโหว่เอง

ก่อนหน้านี้จีนวางกฎการรายงานช่องโหว่ว่าต้องรายงานไปยังรัฐบาลเสมอ, ห้ามรายงานไปยังหน่วยงานต่างชาตินอกจากเจ้าของซอฟต์แวร์, และห้ามซื้อขายช่องโหว่ แม้จะเปิดทางให้รายงานช่องโหว่ไปยังผู้ผลิตได้ แต่รัฐบาลจีนก็อาจจะคาดหวังว่าจะได้ข้อมูลช่องโหว่เร็วเป็นพิเศษ

กระทรวงกลาโหมเบลเยียมถูกคนร้ายแฮกด้วยช่องโหว่ Log4j ตั้งแต่วันพฤหัสที่ผ่านมา จนระบบหลายส่วนใช้งานไม่ได้ และผู้เกี่ยวข้องต้องแก้ไขปัญหาตลอดสุดสัปดาห์ที่ผ่านมา

แถลงการไม่เปิดเผยว่าระบบใดถูกโจมตีบ้าง และถูกโจมตีโดยกลุ่มใด แต่ระบุเพียงว่าจำกัดความเสียหายได้แล้ว

โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service

ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่

นักวิจัยพบช่องโหว่ CVE-2021-44228 ร้ายแรงสูงในแพ็กเกจ Log4j ตั้งแต่สัปดาห์ที่ผ่านมา แม้ทางโครงการจะแพตช์ได้อย่างรวดเร็ว แต่ก็พบช่องโหว่ระดับปานกลาง CVE-2021-45046 แต่หลังจากศึกษาเพิ่มเติมก็เป็นไปได้ว่าช่องโหว่ CVE-2021-45046 นี้อาจจะกลายเป็นช่องโหว่ร้ายแรงสูง แม้จะเบากว่าช่องโหว่แรกก็ตาม

CVE-2021-45046 เกิดจากการปิด message lookup (พยายามแทนค่าใน log ด้วยข้อมูลภายนอก) ไม่ครบถ้วน โดยออปเจกต์ ThreadContext ยังคง lookup อยู่ แม้จะเปิดตัวเลือก formatMsgNoLookups สั่งไม่ให้ lookup ไปแล้วก็ตาม การใช้งานรูปแบบนี้เป็นรูปแบบที่ไม่ได้ใช้งานทั่วไป และ Log4j เองก็ปิดการดาวน์โหลดโค้ดจากภายนอกไว้แล้ว ทำให้ช่วงแรกนักวิจัยมองว่าช่องโหว่นี้มีความร้ายแรงต่ำ

GitHub ออกตัวช่วยสแกนช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์

ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน (เอกสารวิธีเปิดใช้) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว

ช่องโหว่ Log4j กระทบทุกระบบที่ log ข้อความโจมตีจากแฮกเกอร์ โดยตอนนี้สินค้ากลุ่มความปลอดภัยจำนวนมากมักมีตัวช่วยกรองการโจมตีออกไป แต่มีระบบอื่นๆ ที่ไม่ได้รับข้อความจากแฮกเกอร์โดยตรงแต่ก็โดนโจมตีไปด้วยได้ เช่น ระบบประมวล log ที่ระบบจำนวนมากเป็นจาวา เช่น Elasticsearch อาจจะอ่าน log แล้วกลายเป็นตัวดึงโค้ดมารันแทนที่ตัวแอปที่แฮกเกอร์ยิงข้อความเข้าไป ล่าสุดทาง Cloudflare ก็ออกมาช่วยป้องกันระบบเหล่านี้

แนวทางของ Cloudflare คือการกรองข้อความที่เข้าข่ายว่าจะเป็นการโจมตี Log4j ออกจาก log ที่ส่งให้ลูกค้าผ่านบริการ Logpush โดยการกรองนี้จะเปลี่ยนสตริง ${ กลายเป็น x{ ไปทั้งหมด

CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021

CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตามรายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด

บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)

Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป

สถิติของ Check Point พบว่าระบบเครือข่ายขององค์กรทั่วโลก 43.9% ถูกลองโจมตีผ่านช่องโหว่นี้แล้ว ภูมิภาคที่โดนเยอะคือแอฟริกาและยุโรป ตัวเลขของบางประเทศขึ้นไปสูงถึง 62% ส่วนตัวเลขของประเทศไทยยังน้อยกว่าค่าเฉลี่ยคือ 38%

หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่

ช่องโหว่ CVE-2021-45046 ที่พบเพิ่มเติมมีความรุนแรงน้อยกว่าช่องโหว่เดิมมาก (CVSS 3.7 คะแนน ความร้ายแรงระดับปานกลาง) โดยกระทบกับระบบที่คอนฟิกบางรูปแบบที่ต่างไปจากค่าเริ่มต้น และผลกระทบจากการโจมตีจะทำให้ระบบแครช กลายเป็นการโจมตีแบบ denial of service (DOS) เท่านั้น แต่จุดสำคัญคือการ formatMsgNoLookups ในเวอร์ชั่นก่อนหน้านี้ไม่สามารถปิดช่องโหว่นี้ได้

Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่องช่องโหว่ของ Log4j ว่าส่งผลกระทบเป็นวงกว้างมาก, พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที

CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด

ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม

ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้นได้เริ่มส่งผลกระทบเป็นวงกว้างเนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด

ล่าสุด Elastic ผู้พัฒนาซอฟต์แวร์ Elastic Stack ที่นิยมใช้ในงานมอนิเตอร์ได้ออกประกาศรายละเอียดผลกระทบของผลิตภัณฑ์แล้ว พร้อมคำแนะนำในการบรรเทาช่องโหว่ระหว่างรอแพทซ์ โดยหลังจากตรวจสอบแล้วพบว่าผลิตภัณฑ์ที่ได้รับผลกระทบคือ Elasticsearch, Logstash และ APM Java Agent มีรายละเอียดดังนี้

ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)

ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที

• official client ให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
• modified client ต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
• game server ให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา

ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้

เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว

วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์

ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts