“Chúng tôi vẫn đang chủ động theo dõi hoạt động của những kẻ đang tìm cách khai thác lỗ hổng bảo mật và tại thời điểm này chúng tôi chưa nhận thấy việc lợi dụng lỗ hổng Log4Shell trong các vụ xâm nhập lớn”, Jen Easterly (giám đốc CISA) cho biết tại một cuộc họp báo.
“Kẻ xấu có thể đang sử dụng lỗ hổng này để có được quyền truy cập liên tục mà chúng có thể sử dụng trong tương lai, đó là lý do tại sao chúng tôi rất tập trung vào việc khắc phục lỗ hổng trên toàn quốc và đảm bảo rằng chúng tôi có thể phát hiện bất kỳ hành vi xâm nhập nào phát sinh”. Tuy vậy, Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng của CISA cho biết thêm: “Chúng tôi đang quan sát thấy sự thịnh hành của các hoạt động có mức ảnh hưởng thấp, có thể kể đến như cài đặt phần mềm đào tiền ảo hay cài đặt các mã độc có thể sử dụng trong mạng lưới botnet”.
Chỉ thị hoạt động của CISA được kích hoạt tức thời
CISA đã đóng vai trò dẫn đầu trong việc giúp các cơ quan liên bang Mỹ và khu vực tư nhân quản lý mối đe dọa lan rộng của lỗ hổng Log4Shell, lỗ hổng đầu tiên trong bốn lỗ hổng nghiêm trọng được phát hiện trong phần mềm Log4j, vốn được triển khai trên hàng trăm triệu máy chủ trên toàn thế giới. Trong một phản ứng tức thời, CISA đã thêm lỗ hổng này vào danh mục các điểm yếu đã biết đang bị khai thác (known exploited vulnerabilities). Bằng cách đó, CISA đã kích hoạt chỉ thị hoạt động bắt buộc được ban hành vào tháng 11/2021, trong đó yêu cầu tất cả các cơ quan dân sự khẩn trương vá hệ thống của họ ngay khi có bản vá. Tuy nhiên, CISA nhanh chóng nhận ra rằng chỉ thị hoạt động cần được tiếp tục hoàn thiện và ưu tiên các bước giải quyết và khắc phục lỗ hổng cho các tài sản công nghệ trong trường hợp các bản vá không có sẵn.
CISA đã thiết lập một danh mục công khai để nhận các báo cáo miêu tả chi tiết các sản phẩm có chứa lỗ hổng Log4j tiềm ẩn, cho đến nay đã có hơn 2.800 báo cáo được gửi đến. Ngoài ra, thông qua Bugcrowd – một nền tảng chia sẻ thông tin các lỗ hổng bảo mật, các nhà nghiên cứu bảo mật đã tìm thấy 17 sản phẩm chưa được xác định trước đó có thể bị tấn công bằng lỗ hổng Log4Shell, tất cả đều đã được khắc phục trước khi xảy ra bất kỳ sự xâm nhập nào.
Mặc dù các khuyến nghị của CISA giới hạn với các cơ quan trong chính phủ liên bang Mỹ, nó cũng gửi một tín hiệu mạnh mẽ tới tất cả các tổ chức trong việc xử lý lỗ hổng Log4j. Điểm quan trọng nhất trong thông điệp này là làm các tổ chức hiểu và ưu tiên việc nắm bắt các thành phần và thư viện có chứa điểm yếu bảo mật nằm trong hệ thống của họ, thông qua việc sử dụng BoM phần mềm (software bill of metarials - SBOM). SBOM là thứ không thể thiếu của một tổ chức, nó giúp các tổ chức dễ dàng kiểm tra xem liệu họ có bị ảnh hưởng bởi một điểm yếu bảo mật cụ thể hay không để đưa ra quyết định khắc phục nhanh chóng.
Thiếu yêu cầu báo cáo sự cố là một hạn chế
Một sự hạn chế mà CISA gặp phải khi giúp đỡ các tổ chức phi chính phủ là không có bất cứ một quy tắc nào yêu cầu các tổ chức bắt buộc phải báo cáo các sự cố an ninh thông tin, khiến cho cơ quan có phần mông lung trong việc phát hiện các sự cố liên quan đến Log4j. Vào tháng 12/2021, các tiêu chuẩn về báo cáo sự cố ANTT đã được đưa vào phiên bản thỏa hiệp của Đạo luật Ủy quyền Quốc phòng Quốc gia nhưng đã bị rút lại vào phút cuối.
“Chúng tôi chưa tìm thấy vụ xâm nhập nào đáng kể, nhưng cũng không có vụ xâm nhập nào được báo cáo tới chúng tôi. Chúng tôi lo ngại rằng kẻ xấu sẽ sớm bắt đầu lợi dụng lỗ hổng này, đặc biệt khi nó có tác động đến cơ sở hạ tầng quan trọng. Do hiện tại không có luật nào bắt buộc việc báo cáo sự cố ANTT, chúng tôi có thể sẽ không biết về nó”, Jen Easterly cho biết.
Chưa có vụ xâm nhập ransomware nào có khai thác Log4j
Mặc dù có tin đồn về một cuộc tấn công ransomware đã khai thác lỗ hổng Log4j nhằm vào Bộ Quốc phòng Bỉ vào cuối tháng 12/2021, Goldstein cho biết “Chúng tôi không có xác nhận nào về các vụ xâm nhập ransomware mà Log4Shell đã được sử dụng làm lỗ hổng bắt nguồn cho vụ xâm nhập”. “Ngày nay, chúng ta biết rằng nhiều vụ xâm nhập ransomware không được báo cáo cho chính phủ Hoa Kỳ ngay từ ban đầu. Còn những vụ việc được báo cáo thì thường không được gửi kèm theo thông tin kỹ thuật hữu ích để hiểu được lỗ hổng bảo mật nào đã được kẻ xấu lợi dụng cho vụ xâm nhập. Tuy nhiên, một trong những điều tôi quan sát được và cảm thấy rất đáng lưu tâm là các cuộc tấn công ransomware hiện nay đang chọn mục tiêu là bệnh viện và các cơ sở y tế, chúng tôi đang theo dõi sát sao vấn đề này”.
Các hệ thống điều khiển công nghiệp nên được ngắt khỏi Internet
Các hệ thống điều khiển công nghiệp là một mối quan tâm đặc biệt mà CISA đang tìm cách giải quyết trong cuộc khủng hoảng này. Goldstein cho biết: “Đối với CISA, ngoài các nhiệm vụ đối với US-CERT (The United States Computer Emergency Readiness Team), chúng tôi cũng đảm nhận nhiệm vụ của ICS-CERT (Industrial Control System Cyber Emergency Response Team). Chúng tôi sở hữu một lượng chuyên môn lớn trong lĩnh vực này. Chiếm một phần lớn trong công việc của chúng tôi bao gồm làm việc với hàng trăm nhà cung cấp các thành phần trong hệ thống điều khiển công nghiệp để xác định xem các sản phẩm của họ có chứa lỗ hổng bảo mật hay không và phối hợp giao tiếp với các khách hàng của họ để thực hiện các tác vụ cần thiết. Các vùng mạng vận hành các hạ tầng công nghệ quan trọng của các tổ chức nên được ngắt hoàn toàn khỏi Internet để được bảo vệ tốt nhất trước các cuộc xâm nhập sử dụng lỗ hổng Log4j. Các tài sản này không nên được public trên Internet nhằm mục đích quản trị các hệ thống ứng dụng trong hầu hết các trường hợp. Tập trung vào việc loại bỏ bề mặt tấn công của kẻ xấu sẽ giúp làm giảm đáng kể rủi ro mà lỗ hổng này đem lại”.
Nguồn gốc của lỗ hổng vẫn là bí ẩn
Ngày 24/11/2021, một nhà nghiên cứu làm việc tại công ty điện toán đám mây của Alibaba, Trung Quốc đã thông báo cho Apache Foundation (tổ chức quản lý nền tảng ghi log của Java) về sự tồn tại của lỗ hổng. Trước khi Apache có thể phát hành bản vá, nhà nghiên cứu đã cảnh báo cho họ rằng người dùng Trung Quốc hiện đang thảo luận về nó, điều đó cho thấy tin tặc có thể đang cố gắng khai thác nó trước khi nó được công khai.
Sau đó, chính phủ Trung Quốc đã đình chỉ hợp đồng với công ty điện toán đám mây của Alibaba, với lý do được cho là không báo cáo về lỗi của phần mềm Log4j cho Bắc Kinh kịp thời. Goldstein nói rằng, CISA không thể xác nhận độc lập các báo cáo này, cũng như không thể xác nhận độc lập bất kỳ tương tác nào giữa chính phủ Trung Quốc và nhà nghiên cứu nói trên.