Lỗ hổng Log4j nghiêm trọng mới: Cập nhật bản vá khẩn cấp

Apache Logging Services đã công bố một lỗ hổng Log4j bảo mật nghiêm trọng trong Log4j Core, có khả năng khiến các ứng dụng bị chặn dữ liệu nhật ký.

Lỗ hổng này nằm trong thành phần Socket Appender, ảnh hưởng đến các phiên bản từ 2.0-beta9 đến 2.25.2. Đây là một vector tấn công man-in-the-middle (MitM) nguy hiểm mà các tác nhân độc hại có thể khai thác.

Phân Tích Lỗ Hổng Log4j CVE-2025-68161

Socket Appender trong các phiên bản Log4j bị ảnh hưởng không thể xác minh chính xác tên máy chủ TLS (TLS hostname) của các chứng chỉ ngang hàng. Điều này xảy ra ngay cả khi quản trị viên đã bật rõ ràng tính năng xác minh thông qua cấu hình.

Sự bỏ sót này cho phép kẻ tấn công nằm giữa máy khách và bộ thu nhật ký chặn hoặc chuyển hướng lưu lượng nhật ký nhạy cảm. Lỗ hổng yêu cầu các điều kiện cụ thể để khai thác thành công.

Cơ Chế Khai Thác

Để khai thác lỗ hổng này, kẻ tấn công phải chặn lưu lượng mạng giữa máy khách và bộ thu nhật ký. Đồng thời, chúng phải trình bày một chứng chỉ máy chủ được cấp bởi một tổ chức cấp chứng chỉ (CA) đáng tin cậy.

Nếu Socket Appender tin tưởng chứng chỉ đó thông qua kho lưu trữ đáng tin cậy (trust store) đã cấu hình, cuộc tấn công sẽ thành công. Điều này tiềm ẩn nguy cơ làm lộ dữ liệu nhật ký quan trọng của hệ thống.

Các framework ghi nhật ký được thiết kế để xử lý thông tin nhạy cảm. Thông tin này bao gồm hoạt động của người dùng, sự kiện hệ thống và dữ liệu hành vi ứng dụng. Các tệp nhật ký thường chứa thông tin nhạy cảm mà các tổ chức phải bảo vệ.

Lỗ hổng CVE-2025-68161 này làm suy yếu khả năng bảo vệ đó. Nó cho phép các bên thứ ba không được phép truy cập luồng nhật ký mà không bị phát hiện. Apache Logging Services Security Team đã gán vấn đề này điểm CVSS 4.0 là 6.3, được phân loại là mức MEDIUM.

Điểm số này phản ánh sự phức tạp của cuộc tấn công và các điều kiện tiên quyết cụ thể cần thiết để khai thác thành công một lỗ hổng Log4j.

Các Biện Pháp Khắc Phục và Giảm Thiểu Lỗ Hổng CVE

Apache đã phát hành phiên bản 2.25.3 của Log4j Core. Phiên bản này đã giải quyết triệt để vấn đề xác minh tên máy chủ TLS. Các tổ chức đang sử dụng các phiên bản bị ảnh hưởng nên ưu tiên nâng cấp ngay lập tức để bảo mật hạ tầng ghi nhật ký của mình, tránh các CVE nghiêm trọng.

Cập Nhật Bản Vá Bảo Mật

Việc triển khai bản vá bảo mật là bước quan trọng nhất để loại bỏ rủi ro. Quản trị viên hệ thống cần lập kế hoạch và thực hiện nâng cấp lên Log4j Core 2.25.3 càng sớm càng tốt để khắc phục lỗ hổng Log4j.

Khuyến Nghị Giảm Thiểu Khi Không Thể Nâng Cấp

Đối với các hệ thống không thể nâng cấp ngay lập tức, Apache khuyến nghị hạn chế cẩn thận việc sử dụng các kho lưu trữ đáng tin cậy (trust stores).

Theo hướng dẫn của NIST SP 800-52 Rev. 2, quản trị viên nên cấu hình trust stores chỉ chứa các chứng chỉ CA cần thiết. Các chứng chỉ này chỉ phục vụ cho các phạm vi giao tiếp cụ thể, chẳng hạn như các CA riêng tư hoặc của doanh nghiệp.

Việc tuân thủ nghiêm ngặt các nguyên tắc này giúp giảm thiểu đáng kể bề mặt tấn công của lỗ hổng Log4j này.

Tầm Quan Trọng của An Toàn Thông Tin Nhật Ký và Log4j

Nhật ký là nguồn dữ liệu quan trọng cho hoạt động giám sát, gỡ lỗi và điều tra sự cố bảo mật. Bất kỳ sự xâm phạm nào đối với dữ liệu nhật ký đều có thể gây ra những hậu quả nghiêm trọng, từ rò rỉ thông tin nhạy cảm đến che giấu các hoạt động độc hại.

Lỗ hổng này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì an ninh mạng liên tục và cập nhật các thành phần phần mềm, đặc biệt là các thư viện được sử dụng rộng rãi như Log4j. Sự tồn tại của một lỗ hổng Log4j khác đòi hỏi sự cảnh giác cao độ từ cộng đồng an ninh mạng.

Nhóm bảo mật Apache Logging Services duy trì một chương trình công bố lỗ hổng bảo mật toàn diện. Tổ chức này ưu tiên tính chính xác, đầy đủ và sẵn có của thông tin bảo mật thông qua hệ thống theo dõi lỗ hổng tập trung và Báo cáo Công bố Lỗ hổng (Vulnerability Disclosure Report) được công bố tại logging.apache.org.

Các tổ chức phụ thuộc vào Log4j cần xem xét các phiên bản hiện tại của mình và thực hiện các bản cập nhật cần thiết một cách kịp thời. Nhóm Apache Logging Services tiếp tục giám sát các phần phụ thuộc và giải quyết các mối đe dọa bảo mật ảnh hưởng đến các giải pháp ghi nhật ký được triển khai rộng rãi của họ, vốn được sử dụng trong các ứng dụng doanh nghiệp trên toàn cầu. Việc tuân thủ các khuyến nghị này là cần thiết để bảo vệ hệ thống khỏi những rủi ro liên quan đến lỗ hổng Log4j.