Cyberthreat.id – Apache Software Foundation, organisasi nirlaba AS yang mendukung pengembangan perangkat lunak open-source, merilis pembaruan keamanan darurat untuk menambal kerentanan zero-day pada “Log4j”, Java library yang menyediakan kemampuan logging (penyimpanan data).

Tambalan (patch) tersebut memperbaiki kerentanan eksekusi kode jarak jauh (CVE 2021-44228). Kerentanan yang dijuluki “Log4Shell” bisa dieksploitasi oleh peretas jahat dengan memaksa aplikasi dan server berbasis Java, tempat Log4j library dipakai, untuk memasukkan string (kode) tertentu ke dalam sistem internal yang ditargetkan.

Ketika aplikasi atau server memproses log, string tersebut bisa “memaksa sistem yang rentan untuk mengunduh dan menjalankan skrip berbahaya dari domain yang dikendalikan penyerang dan secara efektif mengambil alih aplikasi/server rentan,” demikian analisis perusahaan keamanan LunaSec yang dikutip The Record, diakses Senin (13 Desember 2021).

Menurut peneliti, kerentanan tersebut memiliki skor 10/10. Pendek kata, Log4Shell sama buruknya dengan kelemahan keamanan karena keduanya bisa dieksploitasi dari jarak jauh dan membutuhkan sedikit keterampilan teknis dalam mengeksekusi.

Dampak luas

Kerentanan tersebut ditemukan selama program bug bounty terhadap server Minecraft, game online “bak pasir” buatan developer game asal Swedia, Markus Persson.

Menurut peneliti, kerentanan yang diakibatkan dari Log4j diperkirakan lebih luas. Ini lantaran Log4j dipakai di hampir semua aplikasi dan server perusahaan berbasis Java.

Log4j, misalnya, disertakan pada hampir semua produk yang dirilis Apache Software Foundation, seperti Apache Struts, Apache Flink, Apache Druid, Apache Flume, Apache Solr, Apache Kafka, dan lain-lain.

Selain itu, proyek open-source lain, seperti Redis, ElasticSearch, Elastic Logstash, Ghidra NSA juga menggunakan Log4j dalam beberapa kapasitasnya.

Secara alami, semua perusahaan yang menggunakan salah satu produk ini juga secara tidak langsung rentan terhadap eksploitasi Log4Shell.

Menurut beberapa penelitian, perusahaan dengan server yang dikonfirmasi rentan terhadap serangan Log4Shell, termasuk Apple, Amazon, Twitter, Cloudflare, Steam, Tencent, Baidu, DIDI, JD, NetEase, dan ribuan lainnya.

Diblokir dengan perubahan konfigurasi

Menurut p0rz9, peneliti keamanan China yang pertama kali memposting kode eksploit secara online, CVE-2021-44228 hanya dapat disalahgunakan jika opsi log4j2.formatMsgNoLookups di konfigurasi library disetel ke false.

Sementara, Heige, pendiri dan CEO firma keamanan China, KnownSec 404 Team dan salah satu peneliti pertama yang memahami dampak kerentanan, mengatakan kepada The Record bahwa rilis Log4j 2.15.0 terbaru pada dasarnya menyetel opsi ke true untuk memblokir serangan.

Pengguna Log4j yang memperbarui ke versi 2.15.0, tetapi kemudian menyetel tanda ini kembali ke false akan tetap rentan terhadap serangan. Demikian pula, pengguna Log4j yang tidak dapat memperbarui, tetapi menyetel tanda ke true dapat memblokir serangan, bahkan pada versi yang lebih lama.

Sayangnya, opsi tersebut disetel ke false secara default di versi lama, yang berarti bahwa semua rilis Log4j sebelumnya sejak 2.10.0 secara default rentan.

Menurut laporan dari perusahaan keamanan Bad Packets and Greynoise, beberapa pelaku ancaman sudah memindai aplikasi yang mungkin rentan terhadap serangan Log4Shell, yang berarti bahwa pemilik server berkejaran waktu sebelum server mulai di-backdoor.

Mulai dieksploitasi

Sementara, CEO Cloudflare, Matthew Prince, mengatakan, eksploitasi kerentanan Log4j telah ditemukan sejak 1 Desember lalu. “Ini menunjukkan setidaknya sembilan hari sebelum kerentanan terungkap ke publik. Namun, sejauh ini belum terlihat bukti eksploitasi massal,” ujar dia di akun Twitter, dikutip dari ZDNet.

Sementara, Cisco Talos mengatakan para penelitinya telah mengamati aktivitas eksploitasi untuk kerentanan Log4j mulai 2 Desember.

Selain itu, operator botnet Muhstik dan Mirai juga mulai menggunakan kerentanan tersebut, tutur peneliti di Netlab 360.[]