Sekarang setelah kucing Log4Shell keluar dari tas, para peneliti sedang bereksperimen dengan semua cara yang berbeda untuk mengeksploitasi dapat digunakan di alam liar.
Ini termasuk dua contoh terbaru yang menunjukkan bagaimana kerentanan dalam alat Java open-source Log4j dapat digunakan pada iPhone, atau mobil Tesla, untuk mengkompromikan server yang berkomunikasi dengan titik akhir. (terbuka di tab baru).
Seorang peneliti Belanda telah mendemonstrasikan bagaimana mengubah nama iPhone menjadi serangkaian karakter dapat memaksa server di sisi lain mencoba mengakses URL tertentu. Hal yang sama dilakukan dengan mobil Tesla oleh peneliti tak dikenal, yang memposting hasilnya ke repositori Github Log4jAttackSurface anonim.
Risiko yang berkembang
Secara teoritis, aktor jahat dapat menghosting malware (terbuka di tab baru) di server dan kemudian, dengan mengubah nama iPhone, dapat memaksa server Apple untuk mengakses URL server tersebut dan mengunduh malware.
Ini adalah pukulan panjang, karena setiap jaringan yang terpelihara dengan baik akan dapat mencegah serangan semacam itu dengan relatif mudah. Terlebih lagi, tidak ada indikasi metode seperti itu dapat mengarah pada kompromi yang lebih luas dari perusahaan-perusahaan ini, The Verge menjelaskan lebih lanjut.
Kerentanan yang sangat kuat
Log4Shell adalah nama eksploit yang baru ditemukan di alat Log4j Java yang diyakini beberapa peneliti menangani jutaan perangkat untuk tujuan pencatatan insiden.
Jen Easterly, direktur US Cybersecurity and Infrastructure Security Agency (CISA) menggambarkan cacat itu sebagai “salah satu yang paling serius” yang dia lihat sepanjang kariernya, “jika bukan yang paling serius”.
“Kami memperkirakan kerentanan akan dieksploitasi secara luas oleh aktor-aktor canggih dan kami memiliki waktu terbatas untuk mengambil langkah-langkah yang diperlukan untuk mengurangi kemungkinan kerusakan,” jelas Easterly.
Itu dilacak sebagai CVE-2021-44228, dan memungkinkan aktor jahat menjalankan hampir semua kode. Keterampilan yang dibutuhkan untuk memanfaatkan kelemahan tersebut sangat rendah, para ahli telah memperingatkan, mendesak semua orang untuk menambal Log4j secepat mungkin.
Organisasi yang menggunakan Log4j dalam perangkat lunak mereka harus segera memutakhirkannya ke versi 2.15 terbaru yang tersedia dari Maven Central (terbuka di tab baru).
Anda mungkin juga ingin melihat daftar firewall terbaik kami (terbuka di tab baru) sekarang
Melalui: Ambang (terbuka di tab baru)