Saat musim liburan semakin dekat, sebuah kerentanan kritis dalam pustaka kode Apache yang disebut Log4j 2 membawa masalah baru. Log4j adalah perpustakaan logging berbasis Java open-source yang banyak digunakan oleh banyak produk, layanan, dan komponen Java.
Cacat tersebut merupakan kerentanan yang sangat berbahaya karena menempatkan server yang tak terhitung jumlahnya dalam risiko pengambilalihan total yang bisa menjadi pisau tajam yang mengoyak finansial korbannya.
Kini seluruh dunia dalam situasi darurat, dimana para peretas sekarang berlomba-lomba secara massal, antara peretas yang melakukan pemindaian di seluruh internet dan mengeksploitasi sistem yang rentan.
Dan para pakar keamanan siber yang berupaya bergerak cepat memperbarui sistem dan menerapkan mitigasi, dan developer aplikasi yang mengaudit aplikasi dan pustaka kode untuk semua hal yang mungkin menyertakan versi rentan dari pustaka log4j.
|
Baca juga: Kerentanan Lama Sumber Masalah IoT |
Apa itu Log4Shell?
Diindeks sebagai CVE-2021-44228, kelemahannya adalah kerentanan eksekusi kode jarak jauh (RCE) yang memungkinkan peretas menjalankan kode pilihan mereka di server yang terpengaruh.
Jika peretas entah bagaimana masuk ke jaringan lokal, bahkan sistem internal yang tidak terpapar ke internet dapat dieksploitasi. Pada akhirnya, dengan kerentanan RCE berarti bahwa pelaku tidak memerlukan lagi akses fisik yang dapat mengarah pada kontrol penuh atas sistem yang terpengaruh dan pencurian data sensitif.
Linimasa
Untuk membantu memahami peristiwa di sekitar kerentanan kritis ini, berikut adalah garis waktu dasar:
-
- 26 November: ID CVE untuk kerentanan dicadangkan.
-
- 1 Desember: Eksploitasi kerentanan pertama yang diketahui terdeteksi di dunia maya.
-
- 10 Desember: ID CVE diterbitkan dan patch dirilis.
-
- 11 Desember Pukul 14:24 CET, modul Perlindungan Serangan Jaringan ESET menerima pembaruan deteksi untuk menutupi kerentanan ini.
Deteksi
ESET telah merilis deteksi untuk eksploitasi kerentanan ini yang mungkin ada di lalu lintas masuk dan keluar pada sistem Windows. Pelaku yang mencoba bergerak secara lateral dari sistem tersebut akan diblokir. Deteksi upaya eksploitasi diluncurkan dengan nama deteksi berikut:
-
- JAVA/Eksploitasi.CVE-2021-44228
-
- JAVA/Eksploitasi.CVE-2021-44228.B
|
Baca juga: Kerentanan Bajak WhatsApp dan APlikasi Perpesanan Android Lainnya |
Langkah-langkah mitigasi
Untuk melindungi diri dari eksploitasi, sangat penting untuk menemukan semua versi perpustakaan yang rentan.
Mulailah dengan membuat daftar sistem yang diprioritaskan untuk ditelusuri, mengevaluasinya satu per satu saat Anda menelusuri daftar tersebut. Bagian yang sulit adalah mengendus versi rentan yang ada di arsip Java Archive (JAR)
Berikut adalah beberapa skrip dasar yang dapat Anda gunakan (yang harus dimodifikasi agar sesuai dengan sistem Anda):
1. Deteksi keberadaan Log4j di sistem Anda (Linux dan Windows)
Skrip ini, tersedia di GitHub, mencari file JndiLookup.class yang cacat di arsip .jar apa pun di sistem Anda.
Linux
sudo grep -r –include “*.jar” JndiLookup.class /
Windows
findstr /s /i /c:”JndiLookup.class” C:\*.jar
2. Deteksi upaya eksploitasi kerentanan di log (Linux)
Skrip ini, juga tersedia di tautan GitHub di atas, mencari upaya xploitasi dalam file yang tidak dikompresi di direktori log Linux /var/log dan semua subdirektorinya:
Grep
sudo egrep -I -i -r ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+’/var/log
Zgrep
sudo find /var/log -name \*.gz -print0 | xargs -0 zgrep -E -i ‘\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+
3. Rekam hasil
Setelah menjalankan skrip atau alat deteksi apa pun, pastikan untuk mencatat hasilnya untuk membantu membuat dokumentasi audit lengkap dari semua sistem Anda. Audit harus menyatakan apakah Anda menemukan Log4j pada sistem dan apakah ada upaya eksploitasi yang ditemukan di log.
4. Pindah ke versi terbaru Log4j
Versi rentan dari Log4j 2 semuanya adalah versi log4j-core dari 2.0-beta9 hingga 2.14.1. Perhatikan bahwa perpustakaan ini tidak sama dengan log4j-api, yang tidak terpengaruh oleh kerentanan ini. Solusi terbaik adalah menggunakan versi terbaru, yaitu 2.15.0.
Meskipun versi 1.x dari Log4j tidak terpengaruh oleh kerentanan khusus ini, mereka memiliki kerentanan lain. Rencana konkret harus ada untuk bermigrasi ke versi terbaru perpustakaan. Faktanya, sekarang adalah waktu yang tepat untuk melanjutkan rencana tersebut.
5. Blokir alamat IP yang mencurigakan
Terakhir, alamat IP yang diketahui tidak jelas dapat diblokir dengan firewall dan/atau sistem pencegahan penyusupan Anda.
|
Baca juga: |
