Dampak dari kerentanan terkenal di perpustakaan Java Log4j terus berlanjut. Meskipun masalah terbesar telah diselesaikan dengan tambalan darurat 2.16, versi ini juga tampaknya rentan terhadap penyalahgunaan. Peneliti keamanan menemukan pintu masuk untuk serangan Denial of Service (DoS). Log4j 2.17 telah diterbitkan untuk menutup entri.
Apache, pengembang perpustakaan Java, menyarankan organisasi untuk menerapkan patch darurat. Nasihat itu berlaku untuk ketiga kalinya sejak perpustakaan ditemukan rentan.
Satu setengah minggu yang lalu, peneliti keamanan dari Alibaba's cloud tim keamanan mengungkapkan metode untuk menyalahgunakan aplikasi dengan Log4j. Log4j digunakan dalam aplikasi untuk mencatat peristiwa. Ternyata dimungkinkan untuk mengakses aplikasi dengan perpustakaan dari luar dengan instruksi untuk menjalankan malware. Penyalahgunaan membutuhkan sedikit lebih dari sekejap. Tambahkan ke perkiraan kemunculan perpustakaan di sebagian besar lingkungan perusahaan dan Anda memahami skala bencana yang dihadapi lanskap TI global.
Pengembang perangkat lunak seperti Fortinet, Cisco, IBM, dan lusinan lainnya menggunakan perpustakaan dalam perangkat lunak mereka. Pengembang mereka bekerja lembur selama akhir pekan 11 Desember untuk memproses patch darurat pertama untuk kerentanan dan mengirimkannya ke organisasi pengguna. Pergeseran yang persis sama diharapkan dari tim TI dalam organisasi ini. Ratusan ribu upaya serangan terjadi di seluruh dunia. Setiap orang harus beralih ke 2.15 sesegera mungkin – sampai 2.15 juga ditemukan rentan.
Konfigurasi perpustakaan tertentu tetap dimungkinkan di versi 2.15. Menggunakan konfigurasi ini melanggengkan kerentanan. Versi 2.16 membuat konfigurasi menjadi tidak mungkin, menjamin patch baru. Seringkali kecewa dengan tim TI yang sudah terlalu banyak bekerja. Namun, itu selalu bisa lebih buruk, karena 2.16 juga memiliki penyakit.
Kembali ke awal
Perhatian global besar-besaran terhadap masalah ini mendorong penyelidikan besar-besaran di seluruh dunia. Apache, pengembang perpustakaan, tampaknya tidak bisa menahan napas selama dua hari tanpa perusahaan keamanan menunjukkan masalah baru yang mendesak.
Singkatnya, ternyata dimungkinkan untuk menjalankan lusinan versi log4j – termasuk 2.16 – dengan satu baris (string) untuk memulai loop abadi yang membuat aplikasi mogok. Kondisi yang harus dipenuhi oleh suatu lingkungan agar dapat disalahgunakan sangatlah luas. Begitu luas sehingga keseriusan praktis dari masalah ini diperdebatkan. Tambalan secara resmi direkomendasikan, tetapi tidak semua orang yakin.
Sekali lagi, tidak setiap instance Log4j rentan, tetapi hanya kasus di mana perpustakaan berjalan pada pengaturan khusus. Seorang penyerang potensial juga membutuhkan wawasan mendetail tentang cara kerja Log4j. Kontras dengan kerentanan awal yang mudah diakses.