Ada banyak gangguan pada Kerentanan Eksekusi Kode Jarak Jauh Apache Log4j2 (Log4Shell) (CVE-2021-44228). Tonton video singkat ini tentang semua yang perlu Anda ketahui tentang kerentanan ini, jika Anda terpengaruh olehnya dan bagaimana cara menguranginya. Pelajari juga lebih lanjut tentang pedoman tanggap darurat oleh Jason Yuan, VP – Product & Marketing, Sangfor Technologies.
Sebagian besar dokumen dan materi yang tersedia online tentang kerentanan ini sangat teknis dan sulit dipahami. Jadi kami mengundang ahli materi pelajaran untuk menjelaskan hal ini kepada kami dalam bahasa yang lebih sederhana dan lebih mudah dipahami.
Wawancara Jason Yuan, Wakil Presiden – Produk & Pemasaran, Sangfor Technologies
Jadi, apa yang menarik dari Kerentanan Log4j2 (Log4Shell) ini?
- Ini adalah peristiwa keamanan terbesar dalam dekade ini.
- Beberapa orang mengatakan itu adalah kerentanan keamanan terbesar sejak Internet ditemukan. Ini berdampak pada bisnis dan konsumen.
- Di Amerika Serikat, direktur Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, menyebut eksploitasi itu "kritis" dan menyarankan vendor untuk memprioritaskan pembaruan perangkat lunak.
- Agensi Jerman Kantor Federal untuk Keamanan Informasi (BSI) menetapkan eksploit tersebut sebagai tingkat ancaman tertinggi, menyebutnya sebagai "situasi ancaman yang sangat kritis" (diterjemahkan)
Siapa yang mungkin memiliki Kerentanan Apache Log4j2 (Log4Shell) CVE-2021-44228 ini?
- Pertama-tama, sedikit latar belakang teknis: Log4j2 digunakan oleh sebagian besar program Java yang dikembangkan dalam dekade terakhir untuk aplikasi server dan klien. Java juga merupakan salah satu bahasa pemrograman teratas yang digunakan oleh bisnis.
- Kedua: untuk menjawab pertanyaan Anda, ini berdampak pada perangkat lunak yang digunakan oleh perusahaan dan pemerintah secara global. Intinya, semua industri. Semua geografi. Intelijen ancaman global Sangfor memiliki kemampuan untuk memindai di internet untuk mengidentifikasi sistem yang lemah. Minggu lalu, tak lama setelah kami mengetahui tentang kerentanan ini, kami mengidentifikasi 3000 server yang terinfeksi dalam waktu 1 jam. Banyak lagi dalam beberapa hari ke depan. Yang cukup menarik, pendidikan menempati urutan teratas. Dugaan saya adalah mereka tidak memiliki anggaran TI yang cukup untuk membeli perangkat lunak; mereka juga tidak memiliki anggaran keamanan yang cukup untuk mengamankannya. Namun, hampir semua industri menderita.
- Ketiga: banyak perangkat lunak konsumen terpengaruh, inilah yang terdeteksi dalam beberapa hari terakhir: Headphone Bluetooth. Jika Anda bermain game, MineCraft memungkinkan pengguna game lain mengubah mesin Anda menjadi penambang kripto. Di internet, seseorang berhasil menunjukkan kerentanan ini di iCloud. Kelemahan seperti itu telah ditemukan di situs web e-commerce paling populer. Di sisi yang lebih berbahaya: POC yang sukses telah dilakukan pada sistem hiburan otomotif bermerek teratas.
Apa dampak potensial dari Kerentanan Log4j2 (Log4Shell) CVE-2021-44228?
- Ini adalah eksekusi kode arbitrer nol hari. Ini ditandai sebagai "kerentanan tunggal terbesar, paling kritis dalam dekade terakhir".
- Ini memungkinkan eksekusi kode jarak jauh tanpa kredensial. Artinya, seseorang dapat mengambil alih sistem Anda, yang berarti mereka dapat menjalankan kode apa pun dan mengakses semua data di mesin yang terpengaruh. Ini juga memungkinkan mereka untuk menghapus atau mengenkripsi file dan menyimpannya untuk tebusan.
- Namun, serangannya tidak terlalu sulit. Dan itu tidak memerlukan pengalaman pemrograman perangkat lunak yang canggih.
- Yang harus dilakukan penyerang untuk mengeksploitasi kelemahan adalah secara strategis mengirim string kode berbahaya yang akhirnya dicatat oleh Log4j versi 2.0 atau lebih tinggi. Eksploitasi memungkinkan penyerang memuat kode Java sewenang-wenang di server, memungkinkan mereka untuk mengambil kendali.
Bagaimana dengan pelanggan dengan perangkat lunak mereka sendiri?
Setiap pelanggan dengan beberapa perangkat lunak sumber terbuka mungkin juga terkena serangan seperti itu.
pencarian
- Elasticsearch
- Kafka
- Struts
Apache Software Foundation menetapkan peringkat keparahan CVSS maksimum 10 ke Log4Shell, karena jutaan server berpotensi rentan oleh eksploitasi.
Keamanan rantai pasokan terbukti sangat penting.
Apa yang terjadi dalam beberapa hari terakhir tentang Kerentanan CVE-2021-44228?
- Responden keamanan di dalam perusahaan perangkat lunak berusaha keras untuk menambal bug, yang dapat dengan mudah dieksploitasi untuk mengendalikan sistem yang rentan dari jarak jauh.
- Pada saat yang sama, peretas secara aktif memindai internet untuk sistem yang terpengaruh. Beberapa telah mengembangkan alat yang secara otomatis mencoba untuk mengeksploitasi bug, serta worm yang dapat menyebar secara independen dari satu sistem yang rentan ke yang lain dalam kondisi yang tepat.
- Kami memperkirakan banyak ransomware baru untuk memanfaatkan kerentanan ini dalam beberapa minggu mendatang.
Apa yang Anda sarankan untuk dilakukan pelanggan kami selanjutnya?
- Nilai sendiri eksposur Anda ASAP. Beberapa dapat dilakukan dalam hitungan jam, yang lain mungkin memakan waktu berminggu-minggu. Anda perlu memeriksa penyedia perangkat lunak dan perangkat keras Anda.
- Jika Anda memerlukan penilaian yang lebih cepat, saya ingin menyarankan agar Anda bekerja dengan vendor seperti kami untuk membantu Anda dengan penilaian otomatis. Berikut beberapa contohnya,
- Dari lalu lintas jaringan Anda, Analisis Lalu Lintas Jaringan kami dapat mendeteksi perangkat lunak apa pun dalam jaringan Anda yang menggunakan versi Log4j2 yang rentan
- Dari sudut pandang server, kami memiliki perangkat lunak untuk membantu Anda mendapatkan daftar aset yang berisi semua perangkat lunak yang digunakan, dan selanjutnya dapat mengidentifikasi sistem yang rentan.
Setelah saya menemukan kerentanan saya dari Log4j2 (Log4Shell) CVE-2021-44228, apa yang harus saya lakukan selanjutnya?
- Patch jika Anda bisa.
- Namun, banyak perangkat lunak tidak dapat ditambal. Karena mereka mungkin menjalankan perangkat lunak lama, seperti versi Java yang lebih lama.
- Ubah konfigurasi. Ada tiga alternatif. Kami dapat memberikan detailnya.
- Patch virtual oleh FW atau IPS jika diperlukan. Hubungi kami untuk detailnya.
- Terapkan NDR seperti milik kami untuk membantu Anda meningkatkan penemuan aset, mendeteksi respons.
Bagaimana pelanggan tahu jika mereka disusupi?
- Tinjau log
- Sebagian besar alat tradisional digunakan untuk pencegahan. FW, AV. Yang perlu Anda tingkatkan adalah kemampuan deteksi dan respons yang jauh lebih kuat.
- Gunakan alat seperti NDR kami untuk meningkatkan kemampuan Deteksi Anda.
- Jika Anda menemukan insiden keamanan, Anda dapat menghubungi kami untuk membantu Anda dengan tim respons insiden.