'Vaksin' terhadap kerentanan Log4Shell memiliki potensi—dan keterbatasan
Kredit Gambar: Getty Images
Dengarkan dari CIO, CTO , dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah lagi
Sebuah “vaksin” terhadap kerentanan Log4Shell tampaknya menawarkan cara untuk mengurangi risiko dari kelemahan luas yang memengaruhi server yang menjalankan Apache Log4j. Skrip tersebut dikembangkan oleh para peneliti di vendor keamanan Cybereason dan dirilis secara gratis pada Jumat malam, menyusul pengungkapan kerentanan kritis zero-day pada Kamis malam. Kerentanan Log4Shell memengaruhi Apache Log4j, pustaka logging Java open source yang digunakan secara luas di layanan cloud dan perangkat lunak perusahaan. Cacat ini dianggap sangat berbahaya karena dapat mengaktifkan eksekusi kode jarak jauh (RCE)—di mana penyerang dapat mengakses dan mengontrol perangkat dari jarak jauh—dan juga terlihat cukup mudah untuk dieksploitasi. Log4Shell adalah “mungkin yang paling signifikan” dalam satu dekade,” dan mungkin akan menjadi “yang paling signifikan yang pernah ada,” kata CEO Tenable Amit Yoran pada hari Sabtu di Twitter.
Daftar Isi
Kerentanan luas
Menurut W3Techs, diperkirakan 31,5% dari semua situs web berjalan di server Apache. Daftar perusahaan dengan infrastruktur yang rentan dilaporkan termasuk Apple, Amazon, Twitter, dan Cloudflare. Vendor termasuk Cisco, VMware, dan Red Hat telah mengeluarkan peringatan tentang produk yang berpotensi rentan. , menghadirkan tantangan mendesak bagi para pembela jaringan mengingat penggunaannya yang luas,” kata Jen Easterly, direktur Badan Keamanan Infrastruktur dan Keamanan Siber federal (CISA), dalam sebuah pernyataan yang diposting Sabtu.
Kerentanan telah memengaruhi versi 2.0 hingga versi 2.14.1 dari Apache Log4j, dan organisasi disarankan untuk memperbarui ke versi 2.15.0 secepat mungkin.
Membeli waktu Tapi patching bisa menjadi proses yang memakan waktu. Untuk melengkapi upaya patching, Cybereason mengatakan bahwa alatnya—yang disebutnya “Logout4Shell”—memiliki potensi untuk “mengimunisasi” server yang rentan, memberikan perlindungan terhadap eksploitasi penyerang yang menargetkan kelemahan tersebut.
Sementara memperbarui ke versi terbaru Log4j tidak diragukan lagi merupakan solusi terbaik, patching seringkali rumit, membutuhkan siklus rilis dan siklus pengujian, kata Yonatan Striem-Amit, salah satu pendiri dan chief technology officer di Cybereason. “Banyak perusahaan merasa sulit untuk pergi dan menyebarkan patch darurat,” katanya dalam sebuah wawancara dengan VentureBeat. “Vaksin” Logout4Shell pada dasarnya membutuhkan waktu untuk tim keamanan saat mereka bekerja untuk meluncurkan tambalan, kata Striem-Amit. Perbaikan tersebut menonaktifkan kerentanan dan memungkinkan organisasi untuk tetap terlindungi saat mereka memperbarui server mereka, katanya. Cybereason menggambarkan perbaikan tersebut sebagai “vaksin” karena berhasil dengan memanfaatkan kerentanan Log4Shell itu sendiri. “Perbaikan menggunakan kerentanan itu sendiri untuk mengatur bendera yang mematikannya,” tulis Striem-Amit dalam sebuah posting blog. “Karena kerentanannya sangat mudah dieksploitasi dan ada di mana-mana—itu adalah salah satu dari sedikit cara untuk menutupnya dalam skenario tertentu.” Selain itu, perbaikan Cybereason “relatif sederhana” karena hanya keterampilan dasar Java yang diperlukan untuk menerapkannya, tulisnya.
Berpotensi membantu Dengan alat Logout4Shell, tim keamanan dapat “mengambil server yang Anda curigai rentan, dan masukkan tali ke tempat-tempat yang menurut Anda berpotensi rentan. Jika aplikasi Anda tidak rentan sama sekali, tidak akan terjadi apa-apa,” kata Striem-Amit kepada VentureBeat. “Namun, jika server Anda rentan terhadap serangan ini, eksploitasi akan terpicu, yang akan mengunduh kode yang kami berikan, ”katanya. “Dan apa yang dilakukan kode sumber itu adalah masuk ke konfigurasi dan menonaktifkan komponen yang rentan. Jadi server terus berjalan, tidak ada yang lebih bijaksana—tetapi upaya apa pun di masa mendatang untuk mengeksploitasi kerentanan ini sekarang tidak akan menghasilkan apa-apa. Komponen rentan sekarang dinonaktifkan, dan Anda selesai.” Casey Ellis, pendiri dan chief technology officer di bug bounty platform Bugcrowd, mengatakan kepada VentureBeat bahwa Cybereason perbaikan tampaknya efektif dan berpotensi membantu tim keamanan.Ellis mengatakan bahwa karena kerumitan pengujian regresi Log4j, “Saya sudah mendengar dari sejumlah organisasi yang mengejar solusi yang terkandung dalam alat Cybereason sebagai pendekatan utama mereka.” “Masih harus dilihat apakah banyak perusahaan memilih untuk mengeksploitasi kerentanan itu sendiri untuk mencapai hal ini,” katanya. “Tapi saya berharap setidaknya beberapa orang menggunakan alat ini secara selektif dan situasional.” Keterbatasan Namun, ada beberapa batasan untuk perbaikan Cybereason. Untuk satu hal, mitigasi tidak bekerja sebelum versi 2.10 dari Log4j. Eksploitasi juga harus “dibakar dengan benar” agar efektif, kata Ellis. “Dan bahkan ketika itu berjalan dengan benar, itu masih meninggalkan kode yang rentan di tempat,” katanya. Namun, “ini menurut saya sangat pintar ‘ pilihan terakhir,’” kata Ellis. “Banyak organisasi saat ini berjuang untuk menginventarisasi di mana Log4j ada di lingkungan mereka, dan memperbarui komponen seperti ini memerlukan analisis ketergantungan untuk menghindari kerusakan sistem dalam upaya memperbaiki kerentanan.” Semua ini “menambah banyak pekerjaan. Dan memiliki alat ‘api dan lupakan’ untuk membersihkan apa pun yang mungkin terlewatkan di akhir semuanya tampak seperti skenario yang akan dihadapi banyak organisasi, dalam beberapa minggu mendatang, ”katanya.
Pada akhirnya, Ellis mengatakan bahwa dia melihat perbaikan Cybereason sebagai alat tambahan daripada obat untuk semua. “ Ini solusi dengan sejumlah keterbatasan, ”katanya. “[But] ini memiliki potensi yang menarik sebagai alat di kotak alat karena organisasi mengurangi risiko Log4j. Dan jika masuk akal bagi mereka untuk menggunakannya, salah satu alasan utamanya adalah kecepatan untuk mengurangi risiko.”
Umpan balik positif
Striem-Amit mengatakan kepada VentureBeat bahwa dia melihat banyak umpan balik positif tentang Logout4Shell, di Twitter dan situs web lain, tetapi mengatakan bahwa Cybereason tidak melacak penggunaannya.Perusahaan—yang mengatakan bahwa tidak ada produknya sendiri dipengaruhi oleh kerentanan Log4Shell—juga berencana untuk mengembangkan versi alat Logout4Shell yang dapat mendukung versi Log4j sebelumnya, sehingga semua server dapat dilindungi menggunakan metode ini, katanya.
Yang penting, tidak seorang pun harus melihat alat ini sebagai solusi “permanen” untuk mengatasi kerentanan Log4Shell, menurut Striem-Amit.
“ Idenya bukan bahwa ini adalah solusi perbaikan jangka panjang, ”katanya. “Idenya adalah, Anda membeli waktu untuk diri sendiri sekarang dan menerapkan praktik terbaik—tambal perangkat lunak Anda, terapkan versi baru, dan semua hal lain yang diperlukan untuk kebersihan TI yang baik.”
VentureBeat
Misi VentureBeat adalah menjadi alun-alun kota digital bagi pengambil keputusan teknis untuk mendapatkan pengetahuan tentang teknologi dan transaksi transformatif. Situs kami memberikan informasi penting tentang teknologi data dan strategi untuk memandu Anda saat Anda memimpin organisasi Anda. Kami mengundang Anda untuk menjadi anggota komunitas kami, untuk mengakses:
informasi terkini tentang topik yang Anda minati
buletin kami
konten pemimpin pemikiran yang terjaga keamanannya dan akses diskon ke acara berharga kami, seperti Transformasi 2021: Pelajari Lebih Lanjut fitur jaringan, dan banyak lagi
Mandat Vaksin Biden Didorong Hingga Setelah Liburan Bisnis dengan setidaknya 100 karyawan baru saja mendapat lebih banyak waktu untuk mematuhi mandat vaksin federal Presiden Biden.Pada hari Kamis, Biden administrasi mengumumkan bahwa entitas publik dan swasta memiliki waktu…
Kebijakan Luar Negeri Korea Selatan di Kawasan Indo-Pasifik Pemerintahan Yoon Suk-yeol akan secara resmi merilis strategi Indo-Pasifik pertama Korea Selatan pada akhir tahun 2022. Peran apa yang akan dimainkan Korea Selatan di kawasan Indo-Pasifik? Seberapa pentingkah Washington dan…
Aliansi Ancaman Cyber dan Lanskap Ancaman Cisco Talos Talk Aktor dunia maya yang buruk mengejar pasar perawatan kesehatan tahun lalu secara substansial, menurut para ahli yang berbicara di webinar yang diselenggarakan minggu lalu oleh Cyber Threat Alliance . Diskusi…
Pengguna OpenSea Menuntut $1 Juta Karena Pencurian… Waktu Membaca: 2 menitSeorang pengguna OpenSea menggugat platform sebesar $1 juta atas hilangnya NFT Kera Bosan dua minggu lalu Timothy McKimmy kehilangan NFT-nya pada awal Februari yang dijual seharga 0,01…
Check Point membeli Spectral untuk menjaga… Jakub Jirsák - stock.adobe.com Akuisisi terbaru Check Point atas startup yang berbasis di Israel, Spectral, memperluas perangkat keamanan yang berpusat pada pengembang Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 01 Feb…
Teradata dan Dataiku bergabung untuk meningkatkan… 18 Desember 2021 14:20 Kredit Gambar: Hiroshi Watanabe // Getty Images Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of…
AWS Amazon memperluas batas transfer data… 25 November 2021 10:43 Peserta konferensi komputasi awan tahunan Amazon berjalan melewati logo AWS di Las Vegas, 30 November 2017. Kredit Gambar: Reuters, Salvador Rodriguez. Dengarkan dari CIO, CTO, dan…
Mengapa IoT adalah landasan dari strategi zero-trust AWS 28 Desember 2021 07:40 Kredit Gambar: Shutterstock Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari…
NCSC membunyikan alarm atas peretasan yang didukung Rusia chajamp - stock.adobe.com Pusat Keamanan Siber Nasional Inggris bergabung dengan seruan AS untuk waspada terhadap campur tangan negara Rusia dalam sistem TI infrastruktur nasional yang kritis Diterbitkan: 13 Jan 2022…
Moderna memulai uji coba tahap awal vaksin HIV berbasis mRNA Moderna telah memulai uji klinis tahap awal dari vaksin mRNA HIV, perusahaan mengumumkan minggu ini. Pada hari Kamis, ia memberikan dosis pertama suntikan yang dikembangkan bersama dengan Inisiatif Vaksin AIDS…
Crypto tidak menimbulkan risiko besar bagi ekonomi… Kanada adalah salah satu negara pertama yang menyetujui ETF Bitcoin dan merupakan negara terbesar keempat dalam hal tingkat hash. 2093 Total penayangan 50 Jumlah saham Cryptocurrency seperti Bitcoin (BTC) tidak…
3 Alat SaaS yang Menyelamatkan Usaha Kecil dari Kekayaan Dengan penguncian tak terduga, biaya kerja jarak jauh baru, dan tentu saja, hanya menjadi bisnis kecil dengan sumber daya terbatas, anggaran ketat pada 2021.Jadi, dengan cara apa pun Anda dapat…
USMCA Maju ke 2023 - Bab 1: Keamanan Nasional USMCA melayani peran keamanan nasional Bradley Martin Direktur, Institut Rantai Pasokan Keamanan Nasional RANDPeneliti Kebijakan Senior, RAND Corporation Dengan latar belakang politik yang diratifikasi pada tahun 1994, Perjanjian Perdagangan Bebas…
Pilihan vaksin COVID-19 Vaksinasi terhadap COVID-19 adalah cara paling efektif untuk membantu mencegah penyakit serius, rawat inap, dan bahkan kematian akibat penyakit tersebut. Vaksin biasanya dapat ditoleransi dengan baik dan dapat memberikan Anda…
Sinovac China Mengklaim Tembakan Boosternya… Topline Sinovac China mengklaim bahwa dosis ketiga dari vaksin Covid-19-nya adalah 94% efektif terhadap varian omicron dari virus corona, Nikkei Asia melaporkan, dalam sebuah pernyataan. hanya sehari setelah penelitian menemukan…
Varian Baru Bisa 'Sepenuhnya Tahan' Terhadap… Topline Varian baru virus corona dapat “menjadi sepenuhnya kebal terhadap vaksin saat ini atau infeksi masa lalu,” Tedros Adhanom Ghebreyesus, kepala Badan Kesehatan Dunia Organization (WHO), mengatakan pada hari Rabu…
RFK Jr., Lara Logan Berbicara Pada Protes Amanat… Topline Para pengunjuk rasa berbaris dari Monumen Washington ke Lincoln Memorial di Washington DC pada hari Minggu untuk menentang mandat vaksin Covid-19, menggambar sebuah berbagai pembicara dan kelompok yang terkadang…
Para ilmuwan secara tidak sengaja mengembangkan… Dalam upaya untuk menemukan apakah protein tertentu merupakan pemicu rheumatoid arthritis, para ilmuwan dari University of Toledo secara tidak sengaja menemukan vaksin untuk melawan penyakit autoimun yang menyakitkan. Vaksin berbasis…
Novak Djokovic Akan Bertanding di Australia Terbuka… Topline Novak Djokovic, petenis peringkat teratas dunia, Selasa mengumumkan akan mempertahankan gelar Australia Terbuka di Melbourne akhir bulan ini setelah mengamankan pengecualian medis dari vaksinasi terhadap Covid-19, mengakhiri spekulasi berminggu-minggu…
Kerentanan kritis Microsoft dari tahun 2020… Bergabunglah dengan eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. Kerentanan eksekusi kode jarak jauh dengan tingkat keparahan tinggi yang memengaruhi beberapa versi Microsoft…
McKinsey menyumbangkan alat pipa pembelajaran mesin… 19 Januari 2022 21:00 Kredit Gambar: Getty Images Apakah Anda melewatkan sesi dari Future of Work Summit? Kunjungi perpustakaan sesuai permintaan Future of Work Summit kami untuk streaming. Biarkan buletin…
Peretas negara Iran menggunakan Log4Shell untuk… TUNNELING IN — TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware. Dan Goodin - 17 Februari 2022 11:31 malam UTC Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan…
Penghargaan Steam telah diumumkan, Cyberpunk 2077… 3 Januari 2022 17:26 Penghargaan Uap 2021 seperti yang diputuskan oleh AndaKredit Gambar: Katup, Uap Bergabunglah dengan pemimpin game, bersama GamesBeat dan Facebook Gaming, untuk GamesBeat & Facebook Gaming Summit…
Malware yang ditulis khusus ditemukan di seluruh… Mengapa penting: Pada bulan Desember 2021, tim keamanan di Intezer mengidentifikasi malware yang ditulis khusus di server web Linux lembaga pendidikan terkemuka. Malware, sejak bernama SysJoker, kemudian ditemukan juga memiliki…
5 konsekuensi negatif dari hosting yang buruk Jika Anda memulai bisnis dan berencana membeli hosting web murah karena anggaran Anda terbatas, pertimbangkan kerugiannya sebelum Anda mengalaminya secara langsung. Hosting yang buruk memiliki banyak kelemahan – artikel ini…
Microsoft: Eksploitasi Log4j memperluas penambangan… 12 Desember 2021 14:33 Abstrak yang indah dari konsep ilustrasi cryptocurrency menunjukkan garis dan simbol Bitcoin di latar belakang gelap.Kredit Gambar: Getty Images Dengarkan dari CIO , CTO, dan eksekutif…
Apa itu layanan desktop dan bagaimana cara kerjanya? Desktop sebagai layanan (DaaS) adalah model untuk mengirimkan data melalui Internet. Ini adalah cara untuk menyerahkan pengelolaan dan penyimpanan data kepada pihak ketiga. Dengan DaaS, perusahaan dapat fokus pada kompetensi…
Superconductive, startup yang mengembangkan solusi… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. Biarkan buletin OSS Enterprise memandu Anda perjalanan sumber terbuka! Daftar di sini. Masalah…
Ukraina meminta peretas bawah tanah untuk bertahan… Asap mengepul dari wilayah unit Kementerian Pertahanan Ukraina, setelah Presiden Rusia Vladimir Putin mengizinkan operasi militer di Ukraina timur, di Kyiv, Ukraina 24 Februari 2022. REUTERS/Valentyn OgirenkoDaftar sekarang untuk akses…
Apakah proyek AI Anda pasti akan gagal sebelum dimulai? 28 November 2021 09:05 Kredit Gambar: Petri Oeschger/Getty Images Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit…