Kerentanan keamanan berbahaya yang diidentifikasi di perpustakaan logging Log4j Java telah mengekspos sebagian besar internet kepada pelaku kejahatan.
Hari nol eksploitasi adalah hal yang buruk, terutama ketika mereka diidentifikasi dalam perangkat lunak yang ada di mana-mana seperti perpustakaan logging Log4j Apache. Eksploitasi bukti konsep dibagikan secara online yang membuat semua orang terpapar potensi serangan eksekusi kode jarak jauh (RCE), dan hal ini memengaruhi beberapa layanan terbesar di web. Eksploitasi tersebut telah diidentifikasi sebagai "sedang dieksploitasi secara aktif", dan merupakan salah satu eksploitasi paling berbahaya yang dipublikasikan dalam beberapa tahun terakhir.
Log4j adalah paket logging berbasis Java populer yang dikembangkan oleh Apache Software Foundation, dan CVE-2021-44228 mempengaruhi semua versi Log4j antara versi 2.0-beta-9 dan versi 2.14.1. Ini telah ditambal di perpustakaan versi terbaru, versi 2.15.0, dirilis beberapa hari yang lalu. Banyak layanan dan aplikasi mengandalkan Log4j, termasuk game seperti Minecraft, tempat kerentanan pertama kali ditemukan. Layanan cloud seperti Steam dan Apple iCloud juga ditemukan rentan, dan kemungkinan besar siapa pun yang menggunakan Apache Struts juga rentan. Bahkan mengubah nama iPhone terbukti memicu kerentanan pada server Apple.
Kerentanan ini adalah telah menemukan oleh Chen Zhaojun dari Tim Keamanan Alibaba Cloud. Layanan apa pun yang mencatat string yang dikontrol pengguna rentan terhadap eksploitasi. Pencatatan log string yang dikontrol pengguna adalah praktik umum yang dilakukan oleh administrator sistem untuk mengenali potensi penyalahgunaan platform string kemudian harus "disanitasi" -- proses membersihkan input pengguna untuk memastikan bahwa tidak ada yang berbahaya bagi perangkat lunak yang sedang digunakan. diserahkan.
Log4Shell menyaingi Heartbleed dalam tingkat keparahannya
Eksploitasi ini dijuluki "Log4Shell", karena merupakan kerentanan RCE yang tidak diautentikasi yang memungkinkan pengambilalihan sistem secara total. Sudah ada a eksploitasi bukti konsep secara online, dan sangat mudah untuk menunjukkan bahwa ini berfungsi melalui penggunaan perangkat lunak pencatatan DNS. Jika Anda ingat Berdarah hati kerentanan dari beberapa tahun yang lalu, Log4Shell jelas memberikan keuntungan dalam hal tingkat keparahan.
“Sama dengan kerentanan tingkat tinggi lainnya seperti Heartbleed dan Shellshock, kami yakin ada akan semakin banyak produk rentan yang ditemukan dalam beberapa minggu mendatang," Serangan Randori Tim katanya di blog mereka Hari ini. “Karena kemudahan eksploitasi dan luasnya penerapannya, kami menduga pelaku ransomware akan segera memanfaatkan kerentanan ini,” tambah mereka. Pelaku kejahatan sudah memindai web secara massal untuk mencoba menemukan server untuk dieksploitasi (via Komputer Tidur).
“Banyak layanan yang rentan terhadap eksploitasi ini. Layanan cloud seperti Steam, Apple iCloud, dan aplikasi seperti Minecraft terbukti rentan,” LunaSec menulis. "Siapa pun yang menggunakan Apache Struts kemungkinan besar rentan. Kami telah melihat kerentanan serupa yang dieksploitasi sebelumnya dalam pelanggaran seperti pelanggaran data Equifax tahun 2017." LunaSec juga mengatakan bahwa versi Java lebih besar dari 6u211, 7u201, 8u191, dan 11.0.1 secara teori tidak terlalu terpengaruh, meskipun peretas mungkin masih dapat mengatasi keterbatasan.
Kerentanan dapat dipicu oleh sesuatu yang biasa seperti nama iPhone, yang menunjukkan bahwa Log4j benar-benar ada di mana-mana. Jika kelas Java ditambahkan ke akhir URL, maka kelas tersebut akan dimasukkan ke dalam proses server. Administrator sistem dengan Log4j versi terbaru dapat menjalankan JVM mereka dengan argumen berikut untuk mencegah eksploitasi kerentanan, selama mereka setidaknya menggunakan Log4j 2.10.
-Dlog4j2.formatMsgNoLookups=trueCERT NZ (Tim Tanggap Darurat Komputer nasional Selandia Baru) telah mengeluarkan peringatan keamanan eksploitasi aktif di alam liar, dan ini juga telah dikonfirmasi oleh Direktur Koalisi Teknik - Keamanan Tiago Henriques Dan pakar keamanan Kevin Beaumont. Kerentanan ini juga dianggap sangat berbahaya oleh Cloudflare sehingga semua pelanggan diberikan perlindungan "sebagian" secara default.
Ini adalah eksploitasi yang sangat berbahaya dan dapat mendatangkan malapetaka secara online. Kami akan terus memantau apa yang terjadi selanjutnya.