'Vaksin' terhadap kerentanan Log4Shell memiliki potensi—dan keterbatasan

Sebuah “vaksin” terhadap kerentanan Log4Shell tampaknya menawarkan cara untuk mengurangi risiko dari kelemahan luas yang memengaruhi server yang menjalankan Apache Log4j. Skrip tersebut dikembangkan oleh para peneliti di vendor keamanan Cybereason dan dirilis secara gratis pada Jumat malam, menyusul pengungkapan kerentanan kritis zero-day pada Kamis malam. Kerentanan Log4Shell memengaruhi Apache Log4j, pustaka logging Java open source yang digunakan secara luas di layanan cloud dan perangkat lunak perusahaan. Cacat ini dianggap sangat berbahaya karena dapat mengaktifkan eksekusi kode jarak jauh (RCE)—di mana penyerang dapat mengakses dan mengontrol perangkat dari jarak jauh—dan juga terlihat cukup mudah untuk dieksploitasi. Log4Shell adalah “mungkin yang paling signifikan” dalam satu dekade,” dan mungkin akan menjadi “yang paling signifikan yang pernah ada,” kata CEO Tenable Amit Yoran pada hari Sabtu di Twitter.

Kerentanan luas

Menurut W3Techs, diperkirakan 31,5% dari semua situs web berjalan di server Apache. Daftar perusahaan dengan infrastruktur yang rentan dilaporkan termasuk Apple, Amazon, Twitter, dan Cloudflare. Vendor termasuk Cisco, VMware, dan Red Hat telah mengeluarkan peringatan tentang produk yang berpotensi rentan. , menghadirkan tantangan mendesak bagi para pembela jaringan mengingat penggunaannya yang luas,” kata Jen Easterly, direktur Badan Keamanan Infrastruktur dan Keamanan Siber federal (CISA), dalam sebuah pernyataan yang diposting Sabtu.

Kerentanan telah memengaruhi versi 2.0 hingga versi 2.14.1 dari Apache Log4j, dan organisasi disarankan untuk memperbarui ke versi 2.15.0 secepat mungkin.

Membeli waktu Tapi patching bisa menjadi proses yang memakan waktu. Untuk melengkapi upaya patching, Cybereason mengatakan bahwa alatnya—yang disebutnya “Logout4Shell”—memiliki potensi untuk “mengimunisasi” server yang rentan, memberikan perlindungan terhadap eksploitasi penyerang yang menargetkan kelemahan tersebut.

Sementara memperbarui ke versi terbaru Log4j tidak diragukan lagi merupakan solusi terbaik, patching seringkali rumit, membutuhkan siklus rilis dan siklus pengujian, kata Yonatan Striem-Amit, salah satu pendiri dan chief technology officer di Cybereason. “Banyak perusahaan merasa sulit untuk pergi dan menyebarkan patch darurat,” katanya dalam sebuah wawancara dengan VentureBeat. “Vaksin” Logout4Shell pada dasarnya membutuhkan waktu untuk tim keamanan saat mereka bekerja untuk meluncurkan tambalan, kata Striem-Amit. Perbaikan tersebut menonaktifkan kerentanan dan memungkinkan organisasi untuk tetap terlindungi saat mereka memperbarui server mereka, katanya. Cybereason menggambarkan perbaikan tersebut sebagai “vaksin” karena berhasil dengan memanfaatkan kerentanan Log4Shell itu sendiri. “Perbaikan menggunakan kerentanan itu sendiri untuk mengatur bendera yang mematikannya,” tulis Striem-Amit dalam sebuah posting blog. “Karena kerentanannya sangat mudah dieksploitasi dan ada di mana-mana—itu adalah salah satu dari sedikit cara untuk menutupnya dalam skenario tertentu.” Selain itu, perbaikan Cybereason “relatif sederhana” karena hanya keterampilan dasar Java yang diperlukan untuk menerapkannya, tulisnya.

---

Berpotensi membantu Dengan alat Logout4Shell, tim keamanan dapat “mengambil server yang Anda curigai rentan, dan masukkan tali ke tempat-tempat yang menurut Anda berpotensi rentan. Jika aplikasi Anda tidak rentan sama sekali, tidak akan terjadi apa-apa,” kata Striem-Amit kepada VentureBeat. “Namun, jika server Anda rentan terhadap serangan ini, eksploitasi akan terpicu, yang akan mengunduh kode yang kami berikan, ”katanya. “Dan apa yang dilakukan kode sumber itu adalah masuk ke konfigurasi dan menonaktifkan komponen yang rentan. Jadi server terus berjalan, tidak ada yang lebih bijaksana—tetapi upaya apa pun di masa mendatang untuk mengeksploitasi kerentanan ini sekarang tidak akan menghasilkan apa-apa. Komponen rentan sekarang dinonaktifkan, dan Anda selesai.” Casey Ellis, pendiri dan chief technology officer di bug bounty platform Bugcrowd, mengatakan kepada VentureBeat bahwa Cybereason perbaikan tampaknya efektif dan berpotensi membantu tim keamanan.Ellis mengatakan bahwa karena kerumitan pengujian regresi Log4j, “Saya sudah mendengar dari sejumlah organisasi yang mengejar solusi yang terkandung dalam alat Cybereason sebagai pendekatan utama mereka.” “Masih harus dilihat apakah banyak perusahaan memilih untuk mengeksploitasi kerentanan itu sendiri untuk mencapai hal ini,” katanya. “Tapi saya berharap setidaknya beberapa orang menggunakan alat ini secara selektif dan situasional.” Keterbatasan Namun, ada beberapa batasan untuk perbaikan Cybereason. Untuk satu hal, mitigasi tidak bekerja sebelum versi 2.10 dari Log4j. Eksploitasi juga harus “dibakar dengan benar” agar efektif, kata Ellis. “Dan bahkan ketika itu berjalan dengan benar, itu masih meninggalkan kode yang rentan di tempat,” katanya. Namun, “ini menurut saya sangat pintar ‘ pilihan terakhir,’” kata Ellis. “Banyak organisasi saat ini berjuang untuk menginventarisasi di mana Log4j ada di lingkungan mereka, dan memperbarui komponen seperti ini memerlukan analisis ketergantungan untuk menghindari kerusakan sistem dalam upaya memperbaiki kerentanan.” Semua ini “menambah banyak pekerjaan. Dan memiliki alat ‘api dan lupakan’ untuk membersihkan apa pun yang mungkin terlewatkan di akhir semuanya tampak seperti skenario yang akan dihadapi banyak organisasi, dalam beberapa minggu mendatang, ”katanya.

Pada akhirnya, Ellis mengatakan bahwa dia melihat perbaikan Cybereason sebagai alat tambahan daripada obat untuk semua. “ Ini solusi dengan sejumlah keterbatasan, ”katanya. “[But] ini memiliki potensi yang menarik sebagai alat di kotak alat karena organisasi mengurangi risiko Log4j. Dan jika masuk akal bagi mereka untuk menggunakannya, salah satu alasan utamanya adalah kecepatan untuk mengurangi risiko.”

Umpan balik positif

Striem-Amit mengatakan kepada VentureBeat bahwa dia melihat banyak umpan balik positif tentang Logout4Shell, di Twitter dan situs web lain, tetapi mengatakan bahwa Cybereason tidak melacak penggunaannya.Perusahaan—yang mengatakan bahwa tidak ada produknya sendiri dipengaruhi oleh kerentanan Log4Shell—juga berencana untuk mengembangkan versi alat Logout4Shell yang dapat mendukung versi Log4j sebelumnya, sehingga semua server dapat dilindungi menggunakan metode ini, katanya.

Yang penting, tidak seorang pun harus melihat alat ini sebagai solusi “permanen” untuk mengatasi kerentanan Log4Shell, menurut Striem-Amit.

“ Idenya bukan bahwa ini adalah solusi perbaikan jangka panjang, ”katanya. “Idenya adalah, Anda membeli waktu untuk diri sendiri sekarang dan menerapkan praktik terbaik—tambal perangkat lunak Anda, terapkan versi baru, dan semua hal lain yang diperlukan untuk kebersihan TI yang baik.”