Kerentanan Log4j Memberi Tekanan pada Dunia Keamanan

Bukan maksud saya untuk mengkhawatirkan kerentanan Log4j (CVE-2021-44228), yang dikenal sebagai Log4Shell, tetapi yang ini sangat buruk.

Pertama-tama, Log4j adalah perpustakaan logging di mana-mana yang sangat banyak digunakan oleh jutaan komputer. Kedua, direktur U.S. Cybersecurity & Infrastructure Security Agency (CISA) mengatakan ini adalah kerentanan paling serius yang pernah dia lihat dalam karirnya selama beberapa dekade, dan banyak pakar keamanan setuju. Ketiga, para peneliti mengatakan bahwa penyerang siber sudah mengeksploitasi kerentanan ratusan kali setiap menit. Faktanya adalah, Log4Shell relatif mudah untuk dieksploitasi, sehingga peretas dengan keterampilan rendah pun dapat memanfaatkannya.

OK, mungkin sudah waktunya untuk alarm.

Log4j adalah perangkat lunak sumber terbuka dari Apache Software Foundation. Seperti yang dijelaskan oleh The Conversation, pustaka logging ini banyak digunakan untuk merekam peristiwa seperti operasi dan kesalahan sistem rutin, dan untuk mengomunikasikan pesan diagnostik mengenai peristiwa tersebut. Sebuah fitur di Log4j memungkinkan pengguna perangkat lunak untuk menentukan kode kustom untuk memformat pesan log. Fitur ini juga memungkinkan server pihak ketiga untuk mengirimkan kode perangkat lunak yang dapat melakukan semua jenis tindakan – termasuk yang berbahaya – pada komputer yang ditargetkan. Hasil dari eksploitasi bug tersebut adalah penyerang dapat mengontrol server yang ditargetkan dari jarak jauh.

Attackers Mengambil Keuntungan Awal

Dalam beberapa minggu setelah penemuan kelemahan pada pertengahan Desember, telah dilaporkan bahwa aktor negara-bangsa terkait dengan Korea Utara, Cina, Iran dan negara-negara lain telah membuat perangkat untuk mengeksploitasi kerentanan ini secara massal dengan cepat. Log4Shell juga menjadi kesayangan geng ransomware dan botnet yang beroperasi di seluruh dunia. Bahaya nyata dalam kelemahan ini adalah bahwa ada begitu banyak cara untuk mengeksploitasinya untuk tujuan jahat.

Seberapa lazim Log4j dalam sistem bisnis? Analisis oleh Wiz dan Ernst & Young terhadap lebih dari 200 lingkungan cloud perusahaan dengan ribuan akun cloud menunjukkan bahwa 93 persen dari lingkungan tersebut berisiko dari kerentanan.

Peneliti Google menemukan bahwa lebih dari 8 persen dari semua paket di Maven Central, repositori paket Java yang besar, memiliki setidaknya satu versi yang terpengaruh oleh kerentanan ini—jumlah yang “sangat besar” menurut semua standar dampak ekosistem.

Jadi, ya, itu cukup luas keberadaan kerentanan ini. Adapun dampak global, masih terlalu dini untuk mengatakannya. Banyak yang akan bergantung pada seberapa baik organisasi merespons ancaman tersebut.

Semua Orang Harus Mengambil Tindakan

Untuk semua orang yang terkena dampak ini, ada kewajiban bisnis dan moral untuk mengambil langkah segera untuk mengurangi kerentanan jika ada dalam sistem yang dihadapi publik. Secara alami, tidak ada bisnis yang menginginkan sistemnya rentan terhadap serangan yang dapat menyebabkan korupsi atau pencurian data dan potensi gangguan bisnis yang parah.

Sebagai keharusan moral, Komisi Perdagangan Federal menunjukkan bahwa perusahaan memiliki tanggung jawab untuk mengambil langkah-langkah “untuk mengurangi kemungkinan bahaya bagi konsumen.” Dengan dampak dari pelanggaran Equifax masih segar dalam ingatan, FTC memperingatkan bahwa “berniat untuk menggunakan otoritas hukum penuh untuk mengejar perusahaan yang gagal mengambil langkah-langkah yang wajar untuk melindungi data konsumen dari eksposur sebagai akibat dari Log4j, atau kerentanan serupa yang diketahui. di masa depan.” Tidak setiap perusahaan melayani konsumen, tentu saja, tetapi itu tidak menjadi masalah dalam menangani masalah ini.

CISA mengeluarkan daftar “tindakan segera” yang harus dilakukan organisasi untuk memulihkan risiko yang ditimbulkan oleh Log4Shell. Tindakan teratas adalah memahami tingkat masalah dengan mengidentifikasi aset mana yang menggunakan perangkat lunak Log4j dan kemudian menerapkan tambalan yang sesuai. Hentikan pendarahannya, begitulah.

Setelah itu, Anda harus berasumsi bahwa Anda telah disusupi, mencari tanda-tanda aktivitas jahat di dalam sistem Anda, dan terus memantau pola lalu lintas aneh atau perilaku yang bisa menjadi indikasi serangan yang sedang berlangsung.

Sangat penting untuk mendeteksi aktivitas ancaman saat kerentanan dieksploitasi atau saat penyerang berhasil memasukkan diri mereka ke dalam lingkungan Anda. Di sinilah kemanjuran alat keamanan Anda diuji.

Seberapa Efektif Alat Keamanan Anda?

Alat keamanan yang bergantung pada deteksi berbasis aturan tradisional dan pencocokan pola mungkin dengan mudah menangkap beberapa perintah yang dijalankan oleh malware yang disuntikkan di hari-hari awal eksploitasi ini. Namun, karena varian Log4Shell menjadi liar dengan taktik eksekusi yang lebih baik, alat informasi keamanan dan manajemen peristiwa (SIEM) tradisional dan deteksi dan respons yang diperluas (XDR) mungkin kesulitan mengidentifikasi serangan kecuali jika vendor alat sering memperbarui basis aturan. Dan itu tidak praktis. Mengambil pendekatan keamanan berlapis yang mencakup beberapa metode deteksi lanjutan seperti pembelajaran mesin, kecerdasan buatan, dan analitik perilaku juga akan sangat penting.

Setiap organisasi harus memiliki rencana mitigasi jika hal seperti ini muncul lagi di masa mendatang. Baik untuk mematikan perangkat lunak yang mengganggu, atau segera menambalnya dan menguji tambalan sebelum kembali ke produksi, tim harus siap untuk respons proaktif dalam hitungan jam atau bahkan menit.

Log4Shell adalah panggilan bangun untuk semua orang. Kita tidak boleh menekan tombol snooze sampai kerentanan berikutnya muncul.

Saryu Nayyar adalah CEO di Gurucul. Nikmati wawasan tambahan dari komunitas Infosec Insider Threatpost dengan mengunjungi microsite kami.
Tulis komentar
Bagikan artikel ini:

  • InfoSec Insiderliu

    <

    ul>iKerentananliu

      iKeamanan Web