idNSA.id - Apache Software Foundation telah merilis perbaikan untuk mengatasi kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi library logging berbasis Java Apache Log4j yang digunakan secara luas yang dapat dipersenjatai untuk mengeksekusi kode berbahaya dan memungkinkan pengambilalihan sistem yang rentan sepenuhnya.
Dilacak sebagai CVE-2021-44228 dan oleh moniker Log4Shell atau LogJam, masalah ini menyangkut kasus Remote Controll Execution (RCE) yang tidak diautentikasi pada aplikasi apapun yang menggunakan utilitas open source dan memengaruhi versi Log4j 2.0-beta9 hingga 2.14. 1. Bug tersebut mendapat skor sempurna 10 dari 10 dalam sistem peringkat CVSS, yang menunjukkan tingkat keparahan masalah.
"Penyerang yang dapat mengontrol pesan log atau log parameter pesan dapat mengeksekusi kode arbitrary dimuat dari LDAP server ketika substitusi pesan lookup diaktifkan," Yayasan Apache mengatakan dalam sebuah kutipan. "Dari Log4j 2.15.0, perilaku ini telah dinonaktifkan secara default."
Eksploitasi dapat dicapai dengan satu string teks, yang dapat memicu aplikasi untuk menjangkau host eksternal yang berbahaya jika dicatat melalui instance Log4j yang rentan, yang secara efektif memberikan kemampuan kepada musuh untuk mengambil muatan dari server jarak jauh dan mengeksekusinya secara lokal. Pengelola proyek memuji Chen Zhaojun dari Alibaba Cloud Security Team karena menemukan masalah tersebut.
Log4j digunakan sebagai paket logging dalam berbagai perangkat lunak populer yang berbeda oleh sejumlah produsen, termasuk Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter, dan video game seperti Minecraft . Dalam kasus yang terakhir, penyerang dapat memperoleh RCE di Server Minecraft hanya dengan menempelkan pesan yang dibuat khusus ke dalam chat box.
"Kerentanan zero-day Apache Log4j mungkin merupakan kerentanan paling kritis yang terlihat tahun ini," kata Bharat Jogi, manajer senior kerentanan dan tanda tangan di Qualys. "Log4j adalah library di mana-mana yang digunakan oleh jutaan aplikasi Java untuk mencatat pesan kesalahan. Kerentanan ini sepele untuk dieksploitasi."
Perusahaan keamanan siber BitDefender , Cisco Talos , Huntress Labs , dan Sonatype semuanya telah mengkonfirmasi bukti pemindaian massal aplikasi yang terpengaruh di public untuk server rentan dan serangan yang terdaftar terhadap jaringan honeypot mereka setelah ketersediaan eksploitasi proof-of-concept ( PoC ). "Ini adalah serangan dengan keterampilan rendah yang sangat sederhana untuk dieksekusi," kata Ilkka Turunen dari Sonatype.
GreyNoise, menyamakan cacat dengan Shellshock , mengatakan mengamati aktivitas berbahaya yang menargetkan kerentanan dimulai pada 9 Desember 2021. Perusahaan infrastruktur web Cloudflare mencatat bahwa mereka memblokir sekitar 20.000 permintaan eksploit per menit sekitar pukul 18:00 UTC pada hari Jumat, dengan sebagian besar upaya eksploitasi yang berasal dari Kanada, AS, Belanda, Prancis, dan Inggris.
Mengingat kemudahan eksploitasi dan prevalensi Log4j di TI perusahaan dan DevOps, serangan in-the-wild yang ditujukan pada server yang rentan diperkirakan akan meningkat dalam beberapa hari mendatang, sehingga sangat penting untuk segera mengatasi kelemahan tersebut. Perusahaan cybersecurity Israel Cybereason juga telah merilis perbaikan yang disebut " Logout4Shell " yang menutup kekurangan dengan menggunakan kerentanan itu sendiri untuk mengkonfigurasi ulang logger dan mencegah eksploitasi serangan lebih lanjut.
"Log4j (CVE-2.021-44.228) Kerentanan ini sangat buruk. Jutaan aplikasi menggunakan Log4j untuk logging, dan semua kebutuhan penyerang lakukan adalah mendapatkan aplikasi untuk login string khusus," pakar keamanan Marcus Hutchins mengatakan dalam sebuah tweet.
