Kerentanan zero-day baru (terbuka di tab baru) dalam kerangka logging Java yang populer, Log4j telah ditemukan yang berpotensi memengaruhi Minecraft, iCloud, Steam, dan banyak produk perangkat lunak lain yang menggunakan Java (terbuka di tab baru) dalam kode mereka.
Dilacak sebagai CVE-2021-44228 (terbuka di tab baru), jenis kerentanan ini sangat berbahaya karena dapat dieksploitasi untuk menjalankan kode apa pun dan memerlukan keterampilan yang sangat rendah agar penyerang dapat melakukannya. Karena Log4j Apache hampir ada di mana-mana dalam aplikasi Java, tindakan segera diperlukan oleh pengelola perangkat lunak yang perlu menambalnya untuk mencegah menjadi korban serangan potensial.
Untuk menempatkan kerentanan ini ke dalam konteks, yang serupa digunakan dalam peretasan Equifax tahun 2017 (terbuka di tab baru) yang menyebabkan data pribadi 149,7 juta orang terekspos secara online.
Eksploitasi baru ini bisa menjadi lebih berbahaya karena Log4j telah diadopsi secara luas di sebagian besar ekosistem Java.
mengeksploitasi Log4j
Menurut posting blog baru (terbuka di tab baru) dari Sonatype, berita tentang eksploitasi Log4j pecah ketika Proof of Concept (PoC) kerentanan diterbitkan dalam repositori GitHub dan dipublikasikan.
Kerentanan memengaruhi Apache Log4j antara versi 2.0 dan 2.141 dan pada saat penulisan, sudah ada laporan bahwa kerentanan itu berhasil dieksploitasi pada beberapa runtime Java 11. Namun untungnya, Apache telah menerbitkan perbaikan untuk masalah ini, tetapi sekarang pembuat perangkat lunak masih perlu menginstalnya untuk melindungi pelanggan mereka.
Kerentanan ini memengaruhi aplikasi apa pun yang menggunakan Log4j untuk masuk, termasuk game populer seperti Minecraft (terbuka di tab baru) di mana Sonatype telah melihat bukti bahwa itu dieksploitasi menggunakan fungsionalitas obrolan bawaannya. Sama seperti serangan eksekusi kode jarak jauh lainnya di masa lalu, ada juga bukti kuat bahwa peretas dan penjahat dunia maya lainnya telah mulai memindai secara massal (terbuka di tab baru) internet untuk aplikasi yang kerentanannya belum ditambal.
Organisasi yang menggunakan Log4j dalam perangkat lunak mereka harus segera memutakhirkannya ke versi 2.15 terbaru yang tersedia dari Maven Central (terbuka di tab baru).
CTO dari Sonatype, Brian Fox memberikan wawasan lebih lanjut tentang kerentanan Log4j dan potensi dampaknya di seluruh dunia dalam email ke TechRadar Promengatakan:
“Kerentanan Log4j baru ini kemungkinan besar akan menjadi peristiwa “flashbulb memory” lainnya di garis waktu kerentanan yang signifikan. Ini adalah kerangka logging yang paling banyak digunakan di ekosistem Jawa. Cakupan aplikasi yang terpengaruh sebanding dengan kerentanan koleksi umum 2015 (CVE 2015-7501) karena penyerang dapat dengan aman menganggap target kemungkinan memilikinya di jalur kelas. Dampaknya sebanding dengan kerentanan Struts sebelumnya, seperti yang berdampak pada Equifax, karena serangan dapat dilakukan dari jarak jauh, secara anonim tanpa kredensial masuk, dan mengarah ke eksploitasi jarak jauh. Kombinasi ruang lingkup dan dampak potensial di sini tidak seperti kerentanan komponen sebelumnya yang dapat saya ingat dengan mudah.”
Kami juga menampilkan antivirus terbaik (terbuka di tab baru), perangkat lunak perlindungan titik akhir terbaik (terbuka di tab baru) dan alat manajemen tambalan terbaik (terbuka di tab baru)