Apache Log4j Logo

Log4j zero-day vulnerability: Apa yang perlu Anda ketahui

Celah keamanan di Log4j, suatu Java library untuk mencatat pesan error log dalam aplikasi, adalah security vulnerability paling terkenal di internet saat ini dan hadir dengan skor severity 10 dari 10. 

Library ini dikembangkan oleh Apache Software Foundation open-source dan merupakan bagian utama dari Java-logging framework. Sejak minggu lalu, peringatan oleh CERT New Zealand menyatakan bahwa CVE-2021-44228, sebuah RCE (Remote Code Execution) vulnerability dalam Log4j, telah dieksploitasi secara ekstensif, peringatan telah dikeluarkan oleh beberapa badan keamanan siber nasional, termasuk Cyber Infrastructure Security Agency (CISA) Amerika dan National Cyber Security Center (NCSC) Inggris.

Hubungi kami melalui link ini untuk mendapatkan free scanning terhadap log4j vulnerability.

Perangkat dan Aplikasi apa yang berada dalam bahaya?

Pada dasarnya perangkat apa pun yang terpapar internet berada dalam bahaya jika menjalankan Apache Log4J, versi 2.0 hingga 2.14.1. NCSC mencatat bahwa Log4j versi 2 (Log4j2), versi yang terpengaruh, termasuk dalam framework Apache Struts2, Solr, Druid, Flink, dan Swift. Mirai, salah satu botnet yang menargetkan semua jenis perangkat yang terhubung ke internet (IoT), telah mengadopsi eksploitasi untuk vulnerability tersebut. Cisco dan VMware masing-masing telah merilis patch untuk produk mereka yang terpengaruh.

Liputan vulnerability LOG4J – YANG PERLU ANDA KETAHUI SEKARANG

AWS telah menjelaskan bagaimana cacat tersebut berdampak pada layanannya dan mengatakan sedang berupaya patching layanannya yang menggunakan Log4j dan telah merilis mitigasi untuk layanan seperti CloudFront.

Demikian juga, IBM mengatakan “secara aktif menanggapi” vulnerability Log4j di seluruh infrastruktur IBM dan produknya. IBM telah mengkonfirmasi bahwa Websphere 8.5 dan 9.0 rentan terhadap vulnerability tersebut.

Oracle juga telah mengeluarkan patching untuk vulnerability tersebut.

“Karena tingkat severity dari vulnerability ini dan publikasi code exploit di berbagai situs, Oracle sangat menyarankan agar pelanggan menerapkan pembaruan yang disediakan oleh Security Alert ini sesegera mungkin,” katanya.

TINDAKAN YANG DIPERLUKAN: IDENTIFIKASI DAN PATCHING PERANGKAT

Saran utama dari CISA adalah untuk mengidentifikasi perangkat yang terhubung ke internet yang menjalankan Log4j dan update ke versi 2.15.0, atau untuk menerapkan mitigasi yang disediakan oleh vendor “segera”. Tetapi mereka juga merekomendasikan pengaturan peringatan keamanan untuk pemindaian atau serangan pada perangkat yang menjalankan Log4j.

Vulnerability ini menimbulkan risiko yang parah,” kata direktur CISA Jen Easterly, Minggu. “Kami hanya akan meminimalkan potensi dampak melalui upaya kolaboratif antara pemerintah dan sektor swasta. Kami mendesak semua organisasi untuk bergabung dengan kami dalam upaya penting ini dan mengambil tindakan.”

Langkah-langkah tambahan yang direkomendasikan oleh CISA meliputi: enumerasi perangkat yang menghadap eksternal dengan Log4j terpasang; memastikan tindakan security operation center setiap alert dengan Log4j diinstal; dan menginstal firewall aplikasi web (WAF) dengan aturan untuk fokus pada Log4j.

AWS telah memperbarui ruleset WAF – AWSManagedRulesKnownBadInputsRuleSet AMR – untuk mendeteksi dan mengurangi upaya dan pemindaian serangan Log4j. Ini juga memiliki opsi mitigasi yang dapat diaktifkan untuk CloudFront, Application Load Balancer (ALB), API Gateway, dan AppSync. Rules tersebut saat ini juga memperbarui semua Amazon OpenSearch Service ke versi Log4j yang telah di patch.

NCSC merekomendasikan memperbarui ke versi 2.15.0 atau yang lebih baru, dan – jika tidak memungkinkan – mengurangi vulnerability di Log4j 2.10 dan yang lebih baru dengan mengatur system property “log4j2.formatMsgNoLookups” menjadi “true” atau menghapus kelas JndiLookup dari classpath.

Sebagian dari permasalahannya adalah mengidentifikasi perangkat lunak yang menyimpan vulnerability Log4j. National Cyber Security Centrum (NCSC) Belanda telah memposting daftar A-Z yang komprehensif dan bersumber di GitHub dari semua produk yang terpengaruh yang diketahui rentan, tidak rentan, sedang diselidiki, atau di mana perbaikan tersedia. Daftar produk menggambarkan seberapa luas vulnerability tersebut, mencakup layanan cloud, layanan pengembang, perangkat keamanan, layanan pemetaan, dan banyak lagi.

Vendor populer dengan produk yang diketahui masih rentan termasuk Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft, dan VMware. Daftarnya bahkan lebih panjang saat menambahkan produk yang patch-nya telah dirilis.

NCCGroup telah memposting beberapa aturan network-detection rules untuk mendeteksi upaya eksploitasi dan indikator eksploitasi yang berhasil.

Terakhir, Microsoft telah merilis serangkaian indikator compromise dan panduan untuk mencegah serangan pada vulnerability Log4j. Contoh efek pasca-eksploitasi yang telah dideteksi oleh Microsoft termasuk menginstal coin miners, Cobalt Strike untuk mengaktifkan pencurian credentials dan lateral movement, dan mengekstrak data dari sistem yang telah di compromised.

Silakan mengisi form identifikasi dan patching perangkat di link ini dan hubungi kami untuk proses lebih detail.

Leave a Comment

Your email address will not be published.