ภัยคุกคามที่มาจากช่องโหว่ Log4Shell ยังไม่ได้หายไปจากระบบและมักจะถูกมาใช้โดยผู้โจมตีเพื่อมุ่งไปยังเป้าหมายทั่วโลก โดยช่องโหว่ดังกล่าวได้คะแนน 10 เต็ม 10 ในระดับความรุนแรงของ NIST ที่ถูกเปิดเผยครั้งแรกเดือนธันวาคม 2564 นับตั้งแต่มีการค้นพบทำให้กลุ่มนักวิจัยทางด้านความมั่นคงปลอดภัยมีความกังวลว่าผู้โจมตีจะโจมตีต่อแอปพลิเคชันที่ได้รับผลกระทบที่มีการนำเอา Function การทำงานของ Log4j ของ Java ไปใช้งานและฝังอยู่ในอุปกรณ์ต่าง ๆ มากมายที่มีการใช้ Framework ของ Apache หลายแบบ ได้แก่ Apache Struts2, Apache Solr, Apache Druid และ Apache Flink
รายงานล่าสุดระบุว่ามีการ Exploit ไปยัง Log4Shell ดังต่อไปนี้
• จากรายงานของ Barracuda ปริมาณการโจมตีที่พยายามใช้ช่องโหว่ของ Log4Shell ยังคงค่อนข้างคงที่ในช่วงสองเดือนที่ผ่านมา
• ความพยายามโจมตีส่วนใหญ่มาจากที่อยู่ IP ในสหรัฐอเมริกา ตามมาด้วยญี่ปุ่น ยุโรปกลาง และรัสเซีย
• ในขณะที่กลุ่มนักวิจัยค้นพบ payloads ต่างๆ ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวส่วนใหญ่ถูกนำมาใช้เพื่อเริ่มการโจมตี DDoS และการโจมตี Cryptominers
โดยรูปแบบการโจมตีมีการนำมาใช้งานหลากหลาย เช่น
• Marai หลายเวอร์ชั่น ส่วนใหญ่มีการโจมตีที่ใช้ประโยชน์จาก Log4Shell
• ผู้โจมตีที่การใช้ Marai เพื่อทำการสร้างกองทัพบอทในการโจมตี DDoS ไปยังเป้าหมายเพื่อที่จะขู่กรรโชก
• นอกจาก Marai แล้วยังมี Botnet ของ BillGates และ Muhstik ที่ยังโจมตีไปยังช่องโหว่ของ Log4j
• กลุ่มนักวิจัยยังค้นพบว่า Malware Kinsing และ XMRig ใน payload มีการโจมตีโดยใช้ในการขุด Cryptocurrencies เข้าไปใน Malware
แนวทางในการป้องกันการโจมตีก็คงจะหนีไม่พ้นการที่จะต้องทำการ patch ไปยังอุปกรณ์ต่างๆ ที่ได้รับผลกระทบต่อช่องโหว่ Log4j ให้เป็น version 2.17.1 หรือใหม่กว่าใน Firmware ของอุปกรณ์
Ref : https://cyware.com/
หากสนใจรับปรึกษาด้าน Cyber Security สามารถติดต่อ Cyber Elite ได้ที่ 👇
📌 Email : [email protected]
📌 Tel: 094-480-4838
