DTI - Direktorat Teknologi Informasi ITB

Masukan Kata Kunci

Waspada Log4j zero-day Vulnerability

Waspada Log4j zero-day Vulnerability

Waspada Log4j zero-day Vulnerability

Log4j, suatu Java library untuk mencatat pesan error log dalam aplikasi, mengalami celah keamanan dan security vulnerability paling terkenal di internet saat ini dan dinilai dengan dengan skor severity 10 dari 10 (sangat berbahaya).

Library ini dikembangkan oleh Apache Software Foundation open-source dan merupakan bagian utama dari Java-logging framework. Sejak minggu lalu, peringatan oleh CERT New Zealand menyatakan bahwa CVE-2021-44228, sebuah RCE (Remote Code Execution) vulnerability dalam Log4j, telah dieksploitasi secara ekstensif, peringatan telah dikeluarkan oleh beberapa badan keamanan siber nasional, termasuk Cyber Infrastructure Security Agency (CISA) Amerika dan National Cyber Security Center (NCSC) Inggris.

Perangkat dan Aplikasi apa yang berada dalam bahaya?

Pada dasarnya perangkat apa pun yang terpapar internet berada dalam bahaya jika menjalankan Apache Log4J, versi 2.0 hingga 2.14.1. NCSC mencatat bahwa Log4j versi 2 (Log4j2), versi yang terpengaruh, termasuk dalam framework Apache Struts2, Solr, Druid, Flink, dan Swift. Mirai, salah satu botnet yang menargetkan semua jenis perangkat yang terhubung ke internet (IoT), telah mengadopsi eksploitasi untuk vulnerability tersebut. Cisco dan VMware masing-masing telah merilis patch untuk produk mereka yang terpengaruh.

TINDAKAN YANG DIPERLUKAN: IDENTIFIKASI DAN PATCHING PERANGKAT

1. Saran utama dari CISA adalah untuk mengidentifikasi perangkat yang terhubung ke internet yang menjalankan Log4j dan update ke versi 2.15.0, atau untuk menerapkan mitigasi yang disediakan oleh vendor “segera”. Tetapi mereka juga merekomendasikan pengaturan peringatan keamanan untuk pemindaian atau serangan pada perangkat yang menjalankan Log4j.

Vulnerability ini menimbulkan risiko yang parah,” kata direktur CISA Jen Easterly, Minggu. “Kami hanya akan meminimalkan potensi dampak melalui upaya kolaboratif antara pemerintah dan sektor swasta. Kami mendesak semua organisasi untuk bergabung dengan kami dalam upaya penting ini dan mengambil tindakan.”

Langkah-langkah tambahan yang direkomendasikan oleh CISA meliputi:
– enumerasi perangkat yang menghadap eksternal dengan Log4j terpasang
– memastikan tindakan security operation center setiap alert dengan Log4j diinstal
– menginstal firewall aplikasi web (WAF) dengan aturan untuk fokus Log4j

2. AWS telah memperbarui ruleset WAF –AWSManagedRulesKnownBadInputsRuleSet AMR – untuk mendeteksi dan mengurangi upaya dan pemindaian serangan Log4j. Ini juga memiliki opsi mitigasi yang dapat diaktifkan untuk CloudFront, Application Load Balancer (ALB), API Gateway, dan AppSyncRules tersebut saat ini juga memperbarui semua Amazon OpenSearch Service ke versi Log4j yang telah dipatch.

3. NCSC merekomendasikan beberapa hal berikut:
– memperbarui Log4j ke versi 2.15.0 atau yang lebih baru
– Apabila tidak memungkinkan melakukan pembaharuan, silahkan mengatur system property “log4j2.formatMsgNoLookups” menjadi “true” atau menghapus kelas     JndiLookup dari classpath.

Sebagian dari permasalahannya adalah mengidentifikasi perangkat lunak yang menyimpan vulnerability Log4j. National Cyber Security Centrum (NCSC) Belanda telah memposting daftar A-Z yang komprehensif dan bersumber di GitHub dari semua produk yang terpengaruh yang diketahui rentan, tidak rentan, sedang diselidiki, atau di mana perbaikan tersedia. Daftar produk menggambarkan seberapa luas vulnerability tersebut, mencakup layanan cloud, layanan pengembang, perangkat keamanan, layanan pemetaan, dan banyak lagi.

4. Vendor populer dengan produk yang diketahui masih rentan termasuk Atlassian, Amazon, Microsoft Azure, Cisco, Commvault, ESRI, Exact, Fortinet, JetBrains, Nelson, Nutanix, OpenMRS, Oracle, Red Hat, Splunk, Soft, dan VMware. Daftarnya bahkan lebih panjang saat menambahkan produk yang patch-nya telah dirilis.

5. NCCGroup telah memposting beberapa aturan network-detection rules untuk mendeteksi upaya eksploitasi dan indikator eksploitasi yang berhasil.

6. Terakhir, Microsoft telah merilis serangkaian indikator compromise dan panduan untuk mencegah serangan pada vulnerability Log4j. Contoh efek pasca-eksploitasi yang telah dideteksi oleh Microsoft termasuk menginstal coin miners, Cobalt Strike untuk mengaktifkan pencurian credentials dan lateral movement, dan mengekstrak data dari sistem yang telah di compromised.

sumber: https://protergo.id/log4j-zero-day-vulnerability-apa-yang-perlu-anda-ketahui/