ทาง Apache Software Foundation ได้ออกตัวแก้ไขช่องโหว่แบบ Zero-day ที่พบการใช้โจมตีในวงกว้างอยู่ตอนนี้ กระทบกับไลบรารีบันทึก Log ยอดนิยมที่ทำงานบนจาวาอย่าง Apache Log4j ซึ่งนำไปใช้รันโค้ดอันตรายจนควบคุมระบบเป้าหมายได้
เป็นช่องโหว่ภายใต้รหัส CVE-2021-44228 รู้จักกันในชื่อ Log4Shell หรือ LogJam เป็นช่องโหว่ที่เปิดให้รันโค้ดได้จากระยะไกล (RCE) โดยข้ามการยืนยันตนบนแอพพลิเคชั่นไหมก็ได้ที่ใช้ยูทิลิตี้โอเพ่นซอร์ส Log4j ตั้งแต่รุ่น 2.0-beta9 จนถึง 2.14.1
บั๊กนี้ได้คะแนนความร้ายแรงเต็มสเกล 10 เต็ม 10 ตามระบบ CVSS ทาง Apache Foundation กล่าวว่า ผู้โจมตีที่สามารถควบคุม Log หรือพารามิเตอร์ที่เกี่ยวข้องได้ก็จะสามารถรันโค้ดอันตรายที่โหลดมาจากเซิร์ฟเวอร์ LDAP
พฤติกรรมดังกล่าวถูกปิดการใช้งานใน Log4j 2.15.0 แล้วโดยดีฟอลต์ ไม่งั้นก็จะโดนเจาะระบบได้เพียงแค่ใช้สตริงเดียว ทำให้แอพพลิเคชั่นติดต่อโฮสต์อันตรายภายนอกได้ถ้ามีการบันทึก Log ผ่านตัว Log4j ที่มีช่องโหว่อยู่
อ่านเพิ่มเติมที่นี่ – THN
