Beberapa pakar keamanan siber kini telah merilis pemindai gratis untuk membantu organisasi mencari instans Log4j yang rentan.
Cybersecurity and Infrastructure Security Agency (CISA), misalnya, telah menerbitkan pemindai Log4j (terbuka di tab baru) di GitHub, berdasarkan versi sebelumnya yang dibuat oleh perusahaan keamanan FullHunt.
CISA mengatakan alat ini memindai dua kerentanan – CVE-2021-44228 dan CVE-2021-45046 – dan menawarkan dukungan untuk panggilan balik DNS untuk penemuan dan validasi kerentanan. Ini juga menyediakan deteksi bug otomatis untuk parameter Data HTTP POST, serta parameter data JSON.
Pakar keamanan siber dari Crowdstrike juga telah menerbitkan pemindai serupa yang disebut CAST.
Pemindai memiliki kekurangan
Namun, para peneliti telah memperingatkan bahwa tidak satu pun dari alat ini yang sempurna, dan mungkin akan kehilangan satu atau dua kerentanan.
Yotam Perkal, pemimpin penelitian di firma keamanan Rezilion, menganalisis alat-alat ini dan menerbitkan hasilnya dalam postingan blog. Menurut Perkal, banyak pemindai melewatkan beberapa versi kerentanan.
“Tantangan terbesar terletak pada pendeteksian Log4Shell di dalam paket perangkat lunak di lingkungan produksi: file Java (seperti Log4j) dapat disarangkan beberapa lapis jauh ke dalam file lain – yang berarti bahwa pencarian file yang dangkal tidak akan menemukannya,” tulis Perkal. “Selain itu, mereka dapat dikemas dalam berbagai format yang menciptakan tantangan nyata dalam menggalinya di dalam paket Java lainnya.”
Perkal menguji total sembilan pemindai, dan sementara beberapa bekerja lebih baik daripada yang lain, tidak ada yang dapat mengidentifikasi semua penerapan Log4j yang rentan.
“Ini juga mengingatkan kita bahwa kemampuan deteksi hanya sebaik metode deteksi Anda. Pemindai memiliki titik buta,” pungkas Perkal. “Pemimpin keamanan tidak dapat secara membabi buta berasumsi bahwa berbagai alat sumber terbuka atau bahkan kelas komersial akan dapat mendeteksi setiap kasus tepi. Dan dalam kasus Log4j, ada banyak contoh tepi di banyak tempat.”
Log4Shell
Log4j adalah logger Java yang baru-baru ini ditemukan memiliki kelemahan kritis, yang memungkinkan aktor jahat (bahkan mereka yang memiliki sedikit keterampilan) untuk menjalankan kode arbitrer pada jutaan titik akhir (terbuka di tab baru)dan mengeluarkan malware (terbuka di tab baru)ransomware (terbuka di tab baru) dan cryptominer.
Investigasi lebih lanjut menemukan bahwa Log4Shell, sebagaimana cacat itu dijuluki, adalah salah satu kerentanan keamanan paling serius dalam sejarah baru-baru ini. Jen Easterly, Direktur CISA, menggambarkannya sebagai “salah satu yang paling serius” yang dia lihat sepanjang kariernya, “jika bukan yang paling serius”.
Sejauh ini, Apache telah mengeluarkan setidaknya tiga tambalan untuk Log4j sejak ditemukannya cacat tersebut, dan pengguna didesak untuk segera memperbarui.
Melalui ZDNet (terbuka di tab baru)