Kerentanan Log4j Menumpuk saat Perusahaan Berebut untuk Menambal

Dec 21 2021

Krisis raksasa yang dipicu oleh log4j belum berakhir—bahkan belum mendekati. Selama seminggu terakhir, kerentanan baru telah ditemukan di perpustakaan logging Apache yang malang (yang kerentanannya ada di mana-mana dijuluki "Log4Shell" di dunia infosec), tetapi, menurut para ahli, tidak perlu langsung panik.

Tambalan perangkat lunak tidak selalu merupakan proses yang sangat mudah, dan tidak ada tempat yang lebih jelas daripada di kegagalan log4j. Selama seminggu terakhir, Apache telah mengeluarkan beberapa tambalan, tetapi dengan setiap tambalan yang berurutan, masalah tambahan muncul.

Pada hari Jumat, Apache mengeluarkan tambalan ketiganya, versi 2.17.0 , dimaksudkan untuk memperbaiki kerentanan yang baru ditemukan yang memungkinkan serangan Denial of Service (cacat baru itu dilacak secara resmi sebagai CVE-2021-45105 ).

Tambalan sebelumnya, 2.16.0 , telah dirilis setelah 2.15.0 —tambalan asli —gagal memitigasi eksploitasi serangan jarak jauh yang, dalam beberapa kasus, dapat memungkinkan pencurian data. Dengan kata lain, tambalan yang dimaksudkan untuk memperbaiki kerentanan asli memiliki kerentanannya sendiri dan tambalan untuk memperbaiki tambalan itu juga bermasalah. Barang bagus.

Semua yang dikatakan, kelemahan keamanan yang lebih baru ini tidak separah yang asli dan seharusnya tidak menjadi sesuatu yang membuat Anda kehilangan terlalu banyak tidur, menurut beberapa ahli.

Ini adalah kerentanan asli, CVE-2021-44228 , yang—jika dibiarkan tidak ditambal—masih menjadi mimpi buruk keamanan siber.

Episode penuh warna lainnya dalam saga ini adalah perdebatan baru-baru ini di antara para profesional keamanan, apakah log4j melahirkan worm atau tidak.

Pada hari Minggu, seorang peneliti keamanan, Germán Fernández, mengklaim dia telah melihat worm — program berbahaya yang menyebar sendiri — yang memengaruhi perangkat yang belum menambal kerentanan log4j. VX Underground, gudang besar sampel malware dan akademisi terkait, membagikan temuan peneliti: “Peneliti keamanan @1ZRR4H telah mengidentifikasi worm Log4J pertama. Ini adalah bot Mirai yang menyebar sendiri. Kami telah mengumpulkan sampelnya,” cuit akun VX . Greg Linares, peneliti keamanan lainnya, mengatakan sepertinya program jahat tersebut terutama menargetkan router Huawei yang belum di-patch.

Namun, ahli lain dengan cepat menolak beberapa klaim ini — menunjukkan bahwa program tersebut tampaknya tidak berfungsi sepenuhnya dan bahkan mungkin secara teknis tidak memenuhi syarat sebagai worm. “Saya telah merekayasa balik worm log4j ini dan tidak bekerja sama sekali,” cuit Marcus Hutchins, peneliti keamanan siber terkemuka. “Ada juga beberapa bug dalam kode yang berarti meskipun mereka memperbaiki kegagalan inti, itu tetap tidak efektif sama sekali.”

Pakar keamanan juga berdebat tentang seberapa parah worm dalam konteks log4j. Tom Kellermann, kepala strategi keamanan siber VMware, baru-baru ini memberi tahu ZDnet bahwa worm dapat berpotensi "dipersenjatai" oleh kekuatan asing atau layanan intelijen yang bermusuhan—hasil akhirnya bisa sangat buruk.

Sementara itu, ledakan upaya eksploitasi yang ditujukan ke log4j terus mengungkap strategi penyerangan baru.

Pada hari Senin, kementerian pertahanan Belgia mengungkapkan bahwa pihaknya terpaksa menutup sebagian jaringannya setelah kelompok peretas mengeksploitasi log4j untuk masuk ke sistemnya. Meskipun tidak banyak lagi yang terungkap tentang insiden tersebut, itu adalah salah satu contoh yang paling terlihat dari bug Apache yang digunakan untuk menyebabkan kerusakan dunia nyata. Ini pasti tidak akan menjadi yang terakhir.

Memang, laporan terbaru menunjukkan kelompok kejahatan yang bermotivasi finansial ikut bergabung—termasuk trojan perbankan. Selain itu, geng ransomware, aktivitas spionase dunia maya, dan penambangan kripto juga telah terlihat. Pialang akses awal —penjahat dunia maya yang meretas perangkat dan jaringan komputer dengan maksud untuk berbalik dan menjual akses itu ke penjahat lain (kebanyakan peretas ransomware) —telah menjarah sistem yang rentan log4j. Tim keamanan Microsoft menerbitkan penelitian minggu lalu yang menunjukkan bahwa "beberapa grup aktivitas terlacak yang bertindak sebagai perantara akses telah mulai menggunakan kerentanan untuk mendapatkan akses awal ke jaringan target."