พบผู้ไม่หวังดีจำนวนมากกำลังเล่นงานเซิร์ฟเวอร์ที่ยังไม่ได้รับการแพ็ตช์ช่องโหว่ใหม่ล่าสุดอย่าง “Log4Shell” ที่อยู่ในตัวยูทิลิตี้ยอดนิยม Log4j เพื่อใช้ติดตั้งตัวขุดเงินคริปโต, ลง Cobalt Strike, แปลงเครื่องเหยื่อให้กลายเป็นฝูงบอทเน็ตของตัวเอง
หรือใช้ช่องโหว่นี้ตรวจสอบข้อมูลก่อนจะลงมือแผลงฤทธิ์ในอีกไม่กี่วันให้หลังก็มี โดยทาง Netlab ซึ่งเป็นส่วนธุรกิจด้านความปลอดภัยเครือข่ายของยักษ์ใหญ่ไอทีในจีน Qihoo 360 ออกมาเผยว่า ทั้ง Mirai และ Muhstik (หรือรู้จักในชื่อ Tsunami) ต่างจ้องเล่นบั๊กนี้
ด้วยการแพร่เชื้อกระจายเป็นวงกว้าง สะสมกำลังการประมวลผลขึ้นเรื่อยๆ เพื่อนำไปใช้โจมตีแบบ Distributed Denial-of-Service (DDoS) ที่รุมยิงระบบเป้าหมายจนเดี้ยง ไม่สามารถให้บริการใครได้อีกในเวลานั้นๆ
สำหรับ Muhstik ก่อนหน้านี้เคยใช่ช่องโหว่ร้ายแรงบน Atlassian Confluence (CVE-2021-26084, CVSS score: 9.8) ที่พบเมื่อช่วงเดือนกันยายน ส่วนช่องโหว่ล่าสุดนี้ได้ถูกใช้เล่นงานอย่างหนักมานานกว่าหนึ่งสัปดาห์ก่อนมีการเปิดเผยข้อมูลช่องโหว่เมื่อวันที่ 10 ธันวาคม
มีหลายบริษัทออกมาแสดงตัวว่าโดนโจมตีไปแล้ว ไม่ว่าจะเป็น Auvik, ConnectWise Manage, หรือ N-able รวมไปถึงโรงงานอีกหลายแห่ง ซึ่งซีอีโอของ Cloudflare คุณ Matthew Prince ได้ทวีตเมื่อวันอาทิตย์ว่า พบร่องรอยการเจาะช่องโหว่บน Log4j ครั้งแรกเมื่อวันที่ 1 ธันวาคม
แต่อย่างไรก็ดี ก็เพิ่งเริ่มพบการโจมตีเพิ่มขึ้นอย่างมากหลังจากข้อมูลช่องโหว่ถูกเปิดเผยสู่สาธารณะ ส่วนทางด้าน Cisco Talos ได้ระบุในรายงานว่า พบความเคลื่อนไหวที่เชื่อว่าเกี่ยวข้องกับช่องโหว่นี้เมื่อวันที่ 2 ธันวาคมที่ผ่านมา
ช่องโหว่ใหม่ล่าสุดนี้ใช้รหัส CVE-2021-44228 (CVSS score: 10.0) เปิดทางให้รันโต้ดอันตรายได้จากระยะไกลในตัว Log4j ที่เป็นเฟรมเวิร์กบันทึก Log ของ Apache ที่เป็นแบบโอเพ่นซอร์ส ทำงานบนภาษาจาวา
อ่านเพิ่มเติมที่นี่ – THN
