Key Takeaways
- Hacker memposting kode yang mengungkapkan eksploitasi di perpustakaan logging Java yang banyak digunakan.
- Detektif keamanan siber melihat pemindaian massal di seluruh web untuk mencari server dan layanan yang dapat dieksploitasi.
-
The Cybersecurity and Infrastructure Security Agency (CISA) telah mendesak vendor dan pengguna untuk segera menambal dan memperbarui perangkat lunak dan layanan mereka.
Lanskap keamanan siber menyala karena kerentanan yang mudah dieksploitasi di perpustakaan logging Java yang populer, Log4j. Ini digunakan oleh setiap perangkat lunak dan layanan populer dan mungkin sudah mulai memengaruhi pengguna desktop dan ponsel cerdas sehari-hari.
Pakar keamanan siber melihat berbagai kasus penggunaan untuk eksploitasi Log4j yang sudah mulai muncul di web gelap, mulai dari mengeksploitasi server Minecraft hingga masalah profil tinggi yang mereka yakini berpotensi memengaruhi Apple iCloud.
"Kerentanan Log4j ini memiliki efek trickle-down, berdampak pada semua penyedia perangkat lunak besar yang mungkin menggunakan komponen ini sebagai bagian dari pengemasan aplikasi mereka," John Hammond, Peneliti Keamanan Senior di Huntress, mengatakan kepada Lifewire melalui email. "Komunitas keamanan telah menemukan aplikasi rentan dari produsen teknologi lain seperti Apple, Twitter, Tesla, [dan] Cloudflare, antara lain. Saat kita berbicara, industri masih mengeksplorasi permukaan serangan yang luas dan risiko yang ditimbulkan kerentanan ini."
Api di Lubang
Kerentanan yang dilacak sebagai CVE-2021-44228 dan dijuluki Log4Shell, memiliki skor keparahan tertinggi 10 dalam sistem penilaian kerentanan umum (CVSS).
GreyNoise, yang menganalisis lalu lintas Internet untuk mengambil sinyal keamanan catatan, pertama kali mengamati aktivitas untuk kerentanan ini pada 9 Desember 2021. Saat itulah eksploitasi bukti konsep (PoC) yang dipersenjatai mulai muncul, yang mengarah ke peningkatan pesat pemindaian dan eksploitasi publik pada 10 Desember 2021, dan hingga akhir pekan.
Log4j sangat terintegrasi ke dalam serangkaian luas kerangka kerja DevOps dan sistem TI perusahaan dan dalam perangkat lunak pengguna akhir dan aplikasi cloud populer.
Menjelaskan tingkat keparahan kerentanan, Anirudh Batra, analis ancaman di CloudSEK, memberi tahu Lifewire melalui email bahwa aktor ancaman dapat mengeksploitasinya untuk menjalankan kode di server jarak jauh.
"Ini bahkan membuat game populer seperti Minecraft juga rentan. Penyerang dapat mengeksploitasinya hanya dengan memposting muatan di kotak obrolan. Tidak hanya Minecraft, tetapi layanan populer lainnya seperti iCloud [dan] Steam juga rentan," Batra menjelaskan, menambahkan bahwa "memicu kerentanan di iPhone semudah mengubah nama perangkat."
Puncak Gunung Es
Perusahaan keamanan siber Tenable menyarankan bahwa karena Log4j disertakan dalam sejumlah aplikasi web, dan digunakan oleh berbagai layanan cloud, cakupan penuh kerentanan tidak akan diketahui untuk beberapa waktu.
Perusahaan menunjuk ke repositori GitHub yang melacak layanan yang terpengaruh, yang pada saat menulis daftar sekitar tiga lusin produsen dan layanan, termasuk yang populer seperti Google, LinkedIn, Webex, Blender, dan lainnya yang disebutkan sebelumnya.
Saat kita berbicara, industri ini masih menjelajahi permukaan serangan yang luas dan mengambil risiko dari kerentanan ini.
Hingga saat ini sebagian besar aktivitas telah dilakukan scanning, namun masih terlihat aktivitas eksploitasi dan pasca-eksploitasi.
"Microsoft telah mengamati aktivitas termasuk memasang penambang koin, Cob alt Strike untuk mengaktifkan pencurian kredensial dan pergerakan lateral, dan mengekstrak data dari sistem yang disusupi," tulis Microsoft Threat Intelligence Center.
Perkuat Penetasan
Maka, tidak mengherankan bahwa karena kemudahan eksploitasi dan prevalensi Log4j, Andrew Morris, Pendiri dan CEO GreyNoise, memberi tahu Lifewire bahwa dia yakin aktivitas permusuhan akan terus meningkat selama beberapa hari ke depan.
Kabar baiknya, bagaimanapun, adalah Apache, pengembang perpustakaan yang rentan, telah mengeluarkan tambalan untuk meniadakan eksploitasi. Tapi sekarang terserah pada pembuat perangkat lunak individu untuk menambal versi mereka untuk melindungi pelanggan mereka.
Kunal Anand, CTO perusahaan keamanan siber Imperva, memberi tahu Lifewire melalui email bahwa sementara sebagian besar kampanye permusuhan yang mengeksploitasi kerentanan saat ini ditujukan kepada pengguna perusahaan, pengguna akhir harus tetap waspada dan memastikan mereka memperbarui perangkat lunak mereka yang terpengaruh segera setelah patch tersedia.
Sentimen itu digaungkan oleh Jen Easterly, Direktur di Cybersecurity and Infrastructure Security Agency (CISA).
"Pengguna akhir akan bergantung pada vendor mereka, dan komunitas vendor harus segera mengidentifikasi, mengurangi, dan menambal beragam produk menggunakan perangkat lunak ini. Vendor juga harus berkomunikasi dengan pelanggan mereka untuk memastikan pengguna akhir mengetahuinya bahwa produk mereka mengandung kerentanan ini dan harus memprioritaskan pembaruan perangkat lunak, "kata Easterly melalui sebuah pernyataan.