![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/EmPbn9P0_400x400.png?itok=pHyavMSh)
Elastic ออกอัพเดต Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 แล้วเมื่อช่วงปลายเดือนธันวาคม โดยจุดสำคัญของเวอร์ชันนี้คืออัพเดต Apache Log4j เป็นเวอร์ชันใหม่เพื่อแก้ช่องโหว่ Log4Shell ที่เป็นข่าวในช่วงต้นเดือนธันวาคมที่ผ่านมา
สำหรับตัว Elasticsearch และ Logstash เวอร์ชัน 7.16.2 และ 6.8.22 มีอัพเดตแก้ไขดังนี้
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/china.png?itok=W7wBbQw4)
กระทรวงอุตสาหกรรมและเทศโนโลยีสารสนเทศ (Ministry of Industry and Information Technology - MIIT) ของจีนหยุดความร่วมแชร์ภัยไซเบอร์กับ Alibaba Cloud เป็นระยะเวลาอย่างน้อยหกเดือน เนื่องจากไม่พอใจที่ Alibaba Cloud ไม่ได้แจ้งช่องโหว่ Log4j ให้รัฐบาลทราบล่วงหน้า โดย MIIT ระบุว่ารู้ข่าวช่องโหว่นี้จากช่องทางอื่น ไม่ใช่ Alibaba Cloud ที่เป็นผู้พบช่องโหว่เอง
ก่อนหน้านี้ จีนวางกฎการรายงานช่องโหว่ ว่าต้องรายงานไปยังรัฐบาลเสมอ, ห้ามรายงานไปยังหน่วยงานต่างชาตินอกจากเจ้าของซอฟต์แวร์, และห้ามซื้อขายช่องโหว่ แม้จะเปิดทางให้รายงานช่องโหว่ไปยังผู้ผลิตได้ แต่รัฐบาลจีนก็อาจจะคาดหวังว่าจะได้ข้อมูลช่องโหว่เร็วเป็นพิเศษ
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
กระทรวงกลาโหมเบลเยียมถูกคนร้ายแฮกด้วยช่องโหว่ Log4j ตั้งแต่วันพฤหัสที่ผ่านมา จนระบบหลายส่วนใช้งานไม่ได้ และผู้เกี่ยวข้องต้องแก้ไขปัญหาตลอดสุดสัปดาห์ที่ผ่านมา
แถลงการไม่เปิดเผยว่าระบบใดถูกโจมตีบ้าง และถูกโจมตีโดยกลุ่มใด แต่ระบุเพียงว่าจำกัดความเสียหายได้แล้ว
- Read more about กระทรวงกลาโหมเบลเยียมถูกแฮกด้วยช่องโหว่ Log4j
- 4 comments
- Log in or register to post comments
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
โครงการ Log4j ออกเวอร์ชั่น 2.17.0 หลังนักวิจัยพบช่องโหว่ CVE-2021-45105 ที่แม้จะไม่สามารถส่งโค้ดเข้าไปรันได้เหมือนช่องโหว่ก่อนหน้านี้ แต่ก็ทำให้โปรแกรมแครชไปได้ กลายเป็นช่องโหว่แบบ Denial of Service
ลำดับช่องโหว่ของ Log4j ในช่วงสัปดาห์ที่ผ่านมาได้แก่
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
นักวิจัยพบช่องโหว่ CVE-2021-44228 ร้ายแรงสูงในแพ็กเกจ Log4j ตั้งแต่สัปดาห์ที่ผ่านมา แม้ทางโครงการจะแพตช์ได้อย่างรวดเร็ว แต่ก็พบช่องโหว่ระดับปานกลาง CVE-2021-45046 แต่หลังจากศึกษาเพิ่มเติมก็เป็นไปได้ว่าช่องโหว่ CVE-2021-45046 นี้อาจจะกลายเป็นช่องโหว่ร้ายแรงสูง แม้จะเบากว่าช่องโหว่แรกก็ตาม
CVE-2021-45046 เกิดจากการปิด message lookup (พยายามแทนค่าใน log ด้วยข้อมูลภายนอก) ไม่ครบถ้วน โดยออปเจกต์ ThreadContext ยังคง lookup อยู่ แม้จะเปิดตัวเลือก formatMsgNoLookups สั่งไม่ให้ lookup ไปแล้วก็ตาม การใช้งานรูปแบบนี้เป็นรูปแบบที่ไม่ได้ใช้งานทั่วไป และ Log4j เองก็ปิดการดาวน์โหลดโค้ดจากภายนอกไว้แล้ว ทำให้ช่วงแรกนักวิจัยมองว่าช่องโหว่นี้มีความร้ายแรงต่ำ
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/Octocat.png?itok=uazJ1IIl)
GitHub ออกตัวช่วยสแกน ช่องโหว่ Log4j ในโปรเจคต์ซอฟต์แวร์
ผู้ใช้งานสามารถเปิดใช้ Dependabot ซึ่งเป็นบ็อตช่วยตรวจหาเวอร์ชันของแพ็กเกจซอฟต์แวร์ที่ใช้งาน ( เอกสารวิธีเปิดใช้ ) หากมีแพ็กเกจ Log4j เวอร์ชันที่มีช่องโหว่ ก็จะได้รับคำเตือนให้อัพเกรดเป็นเวอร์ชันที่อุดแพตช์แล้ว
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/cf-facebook-card.png?itok=2N4P-cZq)
ช่องโหว่ Log4j กระทบทุกระบบที่ log ข้อความโจมตีจากแฮกเกอร์ โดยตอนนี้สินค้ากลุ่มความปลอดภัยจำนวนมากมักมีตัวช่วยกรองการโจมตีออกไป แต่มีระบบอื่นๆ ที่ไม่ได้รับข้อความจากแฮกเกอร์โดยตรงแต่ก็โดนโจมตีไปด้วยได้ เช่น ระบบประมวล log ที่ระบบจำนวนมากเป็นจาวา เช่น Elasticsearch อาจจะอ่าน log แล้วกลายเป็นตัวดึงโค้ดมารันแทนที่ตัวแอปที่แฮกเกอร์ยิงข้อความเข้าไป ล่าสุดทาง Cloudflare ก็ออกมาช่วยป้องกันระบบเหล่านี้
แนวทางของ Cloudflare คือการกรองข้อความที่เข้าข่ายว่าจะเป็นการโจมตี Log4j ออกจาก log ที่ส่งให้ลูกค้าผ่านบริการ Logpush โดยการกรองนี้จะเปลี่ยนสตริง ${
กลายเป็น x{
ไปทั้งหมด
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/cisa.png?itok=-JrtHQFJ)
CISA หรือ Cybersecurity and Infrastructure Security Agency หน่วยงานความมั่นคงไซเบอร์ของสหรัฐ ซึ่งเป็นหน่วยงานแม่ของ US-CERT ออกคำสั่งทางปกครอง ให้หน่วยงานพลเรือนทั้งหมดของรัฐบาลสหรัฐ ต้องอุดช่องโหว่ Log4j ให้เสร็จสิ้นภายในวันที่ 24 ธันวาคม 2021
CISA มีอำนาจสั่งให้หน่วยงานภาครัฐของสหรัฐต้องลดความเสี่ยงจากช่องโหว่ความปลอดภัยสำคัญๆ (Significant Risk of Known Exploited Vulnerabilities) ตาม รายการที่กำหนด เมื่อ CISA เพิ่มช่องโหว่ CVE-2021-44228 เข้ามาในรายการ หน่วยงานภาครัฐจึงต้องอุดช่องโหว่นี้ให้เสร็จภายในเวลาที่กำหนด
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/checkpoint.png?itok=L2cxc6nn)
บริษัทความปลอดภัย Check Point ออกรายงานประเมินสถานการณ์การโจมตีผ่านช่องโหว่ของ Log4j ว่าเพิ่มขึ้นอย่างรวดเร็ว จำนวนการโจมตีพุ่งสูงถึง 8 แสนครั้งใน 72 ชั่วโมงแรกหลังช่องโหว่ถูกเปิดเผยต่อสาธารณะ (นับถึงวันที่ 13 ธันวาคม ตามเวลาสหรัฐ)
Check Point ให้นิยามช่องโหว่ Log4j ว่าเป็นช่องโหว่ที่รุนแรงที่สุดตัวหนึ่งในรอบหลายปี และปัจจุบันพบมัลแวร์ที่ใช้ช่องโหว่นี้แล้วกว่า 60 เวอร์ชัน ซึ่งจะเพิ่มขึ้นกว่านี้อีกมากเมื่อเวลาผ่านไป
สถิติของ Check Point พบว่าระบบเครือข่ายขององค์กรทั่วโลก 43.9% ถูกลองโจมตีผ่านช่องโหว่นี้แล้ว ภูมิภาคที่โดนเยอะคือแอฟริกาและยุโรป ตัวเลขของบางประเทศขึ้นไปสูงถึง 62% ส่วนตัวเลขของประเทศไทยยังน้อยกว่าค่าเฉลี่ยคือ 38%
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
หลังจากช่องโหว่รันโค้ดใน Log4j สร้างผลกระทบไปทั่วโลก วันนี้ทางโครงการก็ออกแพตช์มาอีกครั้ง เพื่อเสริมความปลอดภัยอีกระดับ โดยปิดการทำงานโมดูล JNDI ที่เป็นต้นเหตุของการโหลดโค้ดเข้ามารันเป็นค่าเริ่มต้น เนื่องจากพบช่องโหว่ CVE-2021-45046 ที่ยังโจมตีได้อยู่
ช่องโหว่ CVE-2021-45046 ที่พบเพิ่มเติมมีความรุนแรงน้อยกว่าช่องโหว่เดิมมาก (CVSS 3.7 คะแนน ความร้ายแรงระดับปานกลาง) โดยกระทบกับระบบที่คอนฟิกบางรูปแบบที่ต่างไปจากค่าเริ่มต้น และผลกระทบจากการโจมตีจะทำให้ระบบแครช กลายเป็นการโจมตีแบบ denial of service (DOS) เท่านั้น แต่จุดสำคัญคือการ formatMsgNoLookups ในเวอร์ชั่นก่อนหน้านี้ไม่สามารถปิดช่องโหว่นี้ได้
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/cisa.png?itok=-JrtHQFJ)
Jen Easterly ผู้อำนวยการหน่วยงานความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (Cybersecurity and Infrastructure Security Agency หรือ CISA) ออกมาเตือนภัยเรื่อง ช่องโหว่ของ Log4j ว่า ส่งผลกระทบเป็นวงกว้างมาก , พบการโจมตีจริงๆ แล้ว และขอให้หน่วยงานรัฐบาลตรวจสอบระบบของตัวเองทันที
CISA ยังตั้งคณะทำงานร่วมเฉพาะกิจ Joint Cyber Defense Collaborative (JCDC) โดยมีตัวแทนจากหน่วยงานภาครัฐอื่นๆ เช่น FBI และ NSA รวมถึงตัวแทนจากหน่วยงานเอกชน เพื่อประสานงานกันให้อุดช่องโหว่ Log4j โดยเร็วที่สุด
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
ช่องโหว่รันโค้ดระยะไกลของ log4j เปิดช่องโหว่เข้าถึงระบบสำคัญๆ จำนวนมากในโลก ตอนนี้มีความพยายามปิดช่องโหว่นี้หลายช่องทางด้วยกัน แต่จุดที่น่ากังวลที่สุดคือ Matthew Prince ซีอีโอของ Cloudflare ออกมาระบุว่าพบหลักฐานการโจมตีช่องโหว่นี้ตั้งแต่วันที่ 1 ธันวาคมที่ผ่านมา ก่อนการเปิดเผยช่องโหว่ถึง 9 วัน แม้ว่าจะเป็นการโจมตีเฉพาะก็ตาม
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/EmPbn9P0_400x400.png?itok=pHyavMSh)
ช่องโหว่ zero-day ของ log4j ที่ปล่อยออกมาล่าสุดนั้น ได้เริ่ม ส่งผลกระทบเป็นวงกว้าง เนื่องจากเป็นไลบรารีที่ได้รับความนิยมในภาษา Java และเป็นช่องโหว่ร้ายแรงทำให้ผู้พัฒนาโครงการหลายอย่างที่ใช้ Java ต้องวางแผนในการออกอัพเกรดซอฟต์แวร์เพื่อแก้ปัญหานี้ให้เร็วที่สุด
ล่าสุด Elastic ผู้พัฒนาซอฟต์แวร์ Elastic Stack ที่นิยมใช้ในงานมอนิเตอร์ได้ออกประกาศรายละเอียดผลกระทบของผลิตภัณฑ์แล้ว พร้อมคำแนะนำในการบรรเทาช่องโหว่ระหว่างรอแพทซ์ โดยหลังจากตรวจสอบแล้วพบว่าผลิตภัณฑ์ที่ได้รับผลกระทบคือ Elasticsearch, Logstash และ APM Java Agent มีรายละเอียดดังนี้
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/mine.png?itok=fGon7Gwf)
ช่องโหว่ของไลบรารี log4j ส่งผลกระทบในวงกว้าง เพราะมีแอพพลิเคชันสายใช้งานเป็นจำนวนมาก โดยแอพสายคอนซูเมอร์ที่ได้รับผลอย่างแรงคือ Minecraft สายที่เป็น Java Edition ทั้งฝั่งไคลเอนต์และเซิร์ฟเวอร์ (สาย Bedrock Edition ไม่เจอช่องโหว่นี้)
ต้นสังกัด Mojang Studios ก็ตอบสนองต่อปัญหานี้อย่างรวดเร็ว โดยออกแพตช์มาอุดช่องโหว่ให้ทันที
- official clientให้ปิดเกมแล้วเรียก Minecraft Launcher ใหม่ ซึ่งจะอัพเดตตัวเกมให้อัตโนมัติ
- modified clientต้องติดต่อกับผู้สร้างไคลเอนต์เอง ว่าอัพเดตแพตช์ให้หรือไม่
- game serverให้อัพเดตเป็นเวอร์ชัน 1.18.1 หากเป็นไปได้ ถ้าใช้เวอร์ชันที่เก่ากว่า ต้องตั้งค่าคอนฟิกเอง อ่านรายละเอียดได้จากที่มา
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
ช่องโหว่รันโค้ดระยะไกลใน log4j หรือเรียกว่า log4shell มีความร้ายแรงสูงและโจมตีได้ง่าย ตอนนี้วงการความปลอดภัยไซเบอร์ก็เริ่มรายงานถึงผลกระทบและการรับมือช่องโหว่นี้
เนื่องจาก log4j ได้รับความนิยมอย่างสูง แม้แต่แอปพลิเคชั่นเดสก์ทอปก็ใช้งานกันเป็นปกติทำให้แอปพลิเคชั่นเหล่านี้ถูกโจมตีได้เช่นกัน ตัวอย่างเช่น Ghidra ของ NSA ก็ได้รับผลประทบและ ออกเวอร์ชั่น 10.1 มาแก้ไขช่องโหว่แล้ว
![Node Thumbnail](https://www.blognone.com/sites/default/files/styles/thumbnail/public/topics-images/log4j.png?itok=YPPSXiBz)
วันนี้มีรายงานถึงช่องโหว่ CVE-2021-44228 ของไลบรารี log4j ที่เป็นไบรารี log ยอดนิยมในภาษา จาวา ส่งผลให้แอปพลิเคชั่นจำนวนมากมีช่องโหว่รันโค้ดระยะไกลไปด้วย หากแอปพลิเคชั่นเขียน log จากอินพุตของผู้ใช้ไม่ว่าช่องทางใดก็ตาม เช่น การเขียน username จากอินพุตของผู้ใช้ลงใน log หรือการ log ข้อมูล user-agent ของเบราว์เซอร์
ตอนนี้มีรายงานว่าบริการสำคัญๆ จำนวนมากมีช่องโหว่นี้ เช่น Steam, iCloud, หรือ Minecraft ตลอดจนแอปแทบทุกตัวที่ใช้ Apache Struts