ALARM Kerentanan: CVE-2021-44228, "Apache Zero-Day Log4j" untuk teman-teman!

(Untuk Alessandro Rugolo)
27/12/21

Sekali lagi dunia teknologi informasi dikejutkan oleh penemuan kerentanan yang didistribusikan pada sejumlah besar sistem komputer, menurut beberapa perkiraan itu akan mencapai 70% dari sistem web yang ada di internet.

Tapi mari kita lanjutkan secara berurutan, sejauh mungkin ...

Pada 24 November 2021, peneliti keamanan Chen Zhaojun dari Tim Keamanan Alibaba Cloud telah menemukan kerentanan pada perpustakaan Apache java yang digunakan sejak 2013. Versi yang terpengaruh oleh kerentanan adalah yang berkisar dari 2.0 hingga 2.15.0-rc1 dan dalam beberapa hari peneliti lain telah menemukan kerentanan baru bahkan di versi yang lebih baru.

Tambalan dan versi saling mengejar ... pada saat penulisan versi baru perpustakaan telah dirilis, 2.17. Akan menarik untuk melihat apakah versi baru ini akan bebas masalah. Kami selalu ingat bahwa tergesa-gesa adalah penasihat yang buruk.

Kerentanan yang ditemukan adalah tipe RCE, atau "eksekusi kode jarak jauh". Ini adalah kerentanan yang memungkinkan penyerang menginstruksikan sistem untuk diunduh dan dieksekusi kode berbahaya (agar lebih penasaran saya rekomendasikan artikelnya by unit42).    

Perangkat lunak dan sistem berikut saat ini dilaporkan berisiko: Apache Struts, Apache Solr, Apache Druid, Apache Flink, ElasticSearch, Flume, Apache Dubbo, Logstash, Kafka, Spring-Boot-starter-log4j2, Cloudflare, iCloud, Minecraft: Java Edisi, Uap, Tencent QQ, Twitter. Tetapi karena mudah untuk menyadari melalui beberapa penelitian sederhana di internet, produk dari perusahaan ICT utama yang menggunakan Apache Log4j banyak, misalnya CISCO telah menerbitkan tabel yang karena alasan ruang yang tidak saya bawa, tetapi yang Anda dapat berkonsultasi di link ini

Dunia Microsoft melaporkan produknya terpengaruh oleh kerentanan dan memberikan arahan untuk mengatasinya. Sebaliknya, jika Anda menggunakan sistem Linux, Anda merasa tidak aman, dalam artikel ini Anda akan menemukan informasi tentang bagaimana mengerti jika Anda rentan

Satu detail terakhir, tingkat bahaya kerentanan, yang secara universal dikenal sebagai Common Vulnerability Scoring System (CVSS) yang dikaitkan dengan kerentanan, sama dengan 10, maksimum yang mungkin. Indeks risiko yang banyak digunakan juga merupakan Skor Risiko Kenna yang, dalam kasus kami itu sama dengan 87 dari 100, nilai yang sangat tinggi.

Berbicara tentang tingkat risiko memungkinkan saya untuk membuat pertimbangan terakhir yang umumnya menyangkut dunia keamanan atau yang disebut "kebenaran" dunia keamanan. Saya kira itu terjadi pada semua orang untuk mendengar perangkat lunak itu open source mereka lebih aman daripada yang berpemilik karena kode mereka tersedia bagi siapa saja untuk analisis keamanan. Telah terjadi pada saya bahwa saya telah mendengarnya berkali-kali dalam perjalanan hidup saya; namun, jika di satu sisi saya berbagi nilai dari pernyataan tersebut, di sisi lain saya ingin menyoroti beberapa konsep yang mungkin tidak jelas bagi semua orang:

  1. Sebuah perangkat lunak open source (seperti perangkat lunak berpemilik lainnya!) tidak dapat dianggap bebas masalah semata-mata dan secara eksklusif berdasarkan pernyataan umum tentang kemungkinan kontrol. 
  2. Tegaskan bahwa perangkat lunak open source mereka lebih aman - karena kemungkinan diberikan kepada siapa pun untuk memverifikasi kode - itu berbahaya. Faktanya, sebagian besar dari mereka yang menggunakannya (dan di antaranya saya juga menempatkan pengembang yang menggunakannya kembali dalam produk mereka) tidak memiliki pengetahuan untuk melakukan pemeriksaan yang diperlukan atau motivasi apa pun untuk melakukannya.

Saya tahu betul bahwa apa yang saya katakan tidak akan menyenangkan banyak orang, tetapi ini hanya bukti terakhir dari apa yang saya katakan: Log4j adalah open source namun butuh bertahun-tahun untuk mencari tahu masalah apa yang bisa ditimbulkannya, Heartbleed menjadi contoh kedua. Ini bukan untuk mengatakan bahwa saya menentang penggunaan perangkat lunak open source, tetapi untuk menentang penggunaan "liar dan sembarangan" mereka, tanpa dukungan yang memadai, karena meningkatkan tingkat risiko!

Pertimbangan terakhir berkaitan dengan fakta bahwa penemuan itu berasal dari "laboratorium di sisi lain dunia" dan bahwa sekarang kita perlu lari mencari perlindungan. Dan ketika saya mengatakan lari, maksud saya hanya itu ...

Untuk mempelajari lebih lanjut:

Kerentanan Log4Shell adalah Batubara dalam Stok kami untuk tahun 2021 | Blog McAfee

CVE - CVE-2021-44228 (mitre.org)

Kerentanan Log4j, Setiap Aplikasi Java adalah pintu belakang untuk eksekusi kode jarak jauh | oleh Carl Marino | CodeX | Des, 2021 | Sedang

Kerentanan Log4j: Semua yang Perlu Anda Ketahui Tentang Cacat Zero-Day | Kotak Alat Ini Keamanan

Jaringan Informatica: Respons Informatica terhadap Ap ...

Apache log4j Kerentanan CVE-2021-44228: Analisis dan Mitigasi (Paloaltonetworks.com)

Seberapa Berisiko Kerentanan Log4J? (gelap.com)

Log4j CVE 2021-44228: Sistem yang Terpengaruh dan Dampak… | Uskup Fox

Cara Mengeksploitasi Bug Heartbleed (stackabuse.com)