Tingkat keparahan kerentanan di Log4j sama sekali tidak teoretis. Penjahat dunia maya scan pelabuhan di seluruh dunia untuk menemukan cara untuk mengeksploitasinya. Peneliti keamanan mengamati ratusan ribu serangan.
Dalam beberapa hari terakhir, Perangkat Lunak Check Point mengenali 470,000 upaya untuk scan jaringan perusahaan di seluruh dunia. Itu scans dilakukan, antara lain, untuk menemukan server yang mengizinkan permintaan HTTP eksternal. Server tersebut rentan untuk mengeksploitasi kerentanan terkenal di perpustakaan Java Log4j. Jika server mengizinkan permintaan HTTP, penyerang dapat melakukan ping ke server dengan satu baris yang menunjuk ke server jauh dengan instruksi Java untuk eksekusi malware. Jika server yang di-ping terhubung ke aplikasi Java yang memproses Log4j, aplikasi Java akan memproses baris tersebut sebagai perintah untuk mengeksekusi malware. Di bagian bawah baris, server korban mengeksekusi apa yang diperintahkan penyerang. Organisasi keamanan Sophos mengatakan telah mengidentifikasi ratusan ribu serangan.
Wajah yang familiar
Sebelumnya kami menulis artikel yang mencerahkan tentang operasi teknis kerentanan yang disebutkan di atas di Log4j. Prasyarat terbesar untuk penyalahgunaan adalah kemampuan untuk menjangkau aplikasi Java yang menggabungkan Log4j. Dalam beberapa kasus ini adalah permainan anak-anak. Misalnya, Apple menggunakan iCloud Log4j untuk merekam nama-nama iPhone. Dengan mengubah nama model iPhone di iOS menjadi instruksi untuk Java, ternyata server Apple dapat diretas.
Dalam kasus lain, aplikasi kurang mudah dipengaruhi. Ancaman terbesar datang dari penyerang dengan pengalaman, pengetahuan dan teknik yang ada. Peneliti keamanan dari Netlab360 menyiapkan dua sistem umpan (honeypots, ed.) untuk mengundang serangan pada aplikasi Java dengan Log4j. Para peneliti dengan demikian memikat sembilan variasi baru dari jenis malware terkenal, termasuk MIRAI dan Muhstik. Strain malware dirancang untuk menyalahgunakan Log4j. Target serangan yang umum adalah penguatan botnet untuk penambangan kripto dan serangan DDoS. Check Point Software melakukan survei serupa dalam skala yang lebih besar. Dalam beberapa hari terakhir, organisasi keamanan mencatat 846,000 serangan.
Pertahanan
Jelas bahwa penjahat dunia maya mencari dan mengeksploitasi versi Log4j yang rentan. Pertahanan yang paling disarankan adalah dan tetap menginventarisasi semua aplikasi Log4j di suatu lingkungan. Jika pemasok aplikasi yang menggunakan Log4j telah merilis versi terbaru, disarankan untuk melakukan patch. Jika tidak, menonaktifkan adalah pilihan paling aman. NCSC menyimpan gambaran umum tentang kerentanan perangkat lunak di mana Log4j diproses.
Saat ini tidak disarankan untuk mengembangkan ukuran perangkat lunak Anda sendiri atau menyesuaikan pengoperasian Log4j. Kerentanan memiliki variasi. Microsoft, antara lain, mendeteksi beberapa varian aturan yang digunakan untuk menginstruksikan aplikasi Java agar menjalankan malware. Check Point berbicara tentang lebih dari 60 mutasi.