Dengarkan dari CIO , CTO, dan eksekutif level C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah lagi

Microsoft mengatakan pada hari Sabtu bahwa sejauh ini mengeksploitasi kerentanan Apache Log4j yang kritis, yang dikenal sebagai Log4Shell, melampaui penambangan koin kripto dan ke wilayah yang lebih serius seperti kredensial dan pencurian data.

Teknik gi ant mengatakan bahwa tim intelijen ancamannya telah melacak upaya untuk mengeksploitasi kerentanan eksekusi kode jarak jauh (RCE) yang terungkap pada Kamis malam. Kerentanan ini memengaruhi Apache Log4j, pustaka logging sumber terbuka yang digunakan secara luas di layanan cloud dan perangkat lunak perusahaan. Banyak aplikasi dan layanan yang ditulis dalam Java berpotensi rentan.

Eksploitasi yang lebih serius

Serangan yang mengambil alih mesin untuk menambang mata uang kripto seperti Bitcoin, juga dikenal sebagai cryptojacking, dapat mengakibatkan kinerja yang lebih lambat.

Selain penambangan koin, eksploitasi Log4j yang sejauh ini telah dilihat Microsoft mencakup aktivitas seperti pencurian kredensial, pergerakan lateral, dan eksfiltrasi data. Seiring dengan menyediakan beberapa platform dan layanan cloud terbesar yang digunakan oleh bisnis, Microsoft adalah vendor keamanan siber utama dengan 650.000 pelanggan keamanan.

Dalam postingnya hari Sabtu, Microsoft mengatakan bahwa “pada saat publikasi, sebagian besar aktivitas yang diamati adalah pemindaian, tetapi aktivitas eksploitasi dan pasca-eksploitasi juga telah diamati.”

Secara khusus , “Microsoft telah mengamati aktivitas termasuk memasang penambang koin, Cobalt Strike untuk mengaktifkan pencurian kredensial dan pergerakan lateral, dan mengekstrak data dari sistem yang disusupi,” kata perusahaan itu.

Microsoft melakukannya tidak memberikan rincian lebih lanjut tentang serangan ini. VentureBeat telah menghubungi Microsoft untuk mendapatkan informasi terbaru.

Menurut posting dari Netlab 360, penyerang telah mengeksploitasi Log4Shell untuk menyebarkan malware termasuk Mirai dan Muhstik—dua botnet Linux yang digunakan untuk penambangan kripto dan serangan penolakan layanan (DDoS) terdistribusi.

Deteksi berbasis perilaku

Menanggapi kerentanan, Microsoft mengatakan bahwa tim keamanan harus fokus pada lebih dari sekadar pencegahan serangan—dan juga harus mencari indikator eksploit menggunakan pendekatan deteksi berbasis perilaku.

Karena kerentanan Log4Shell sangat luas, dan penerapan mitigasi membutuhkan waktu di lingkungan yang besar,” kami mendorong para pembela HAM untuk mencari tanda-tanda pasca-eksploitasi daripada sepenuhnya mengandalkan pencegahan,” kata perusahaan itu dalam postingannya. “Aktivitas pasca eksploitasi yang diamati seperti penambangan koin, pergerakan lateral, dan Cobalt Strike terdeteksi dengan deteksi berbasis perilaku.”

Cobalt Strike adalah alat yang sah untuk pengujian penetrasi yang tersedia secara komersial, tetapi penjahat dunia maya semakin mulai memanfaatkan alat ini, menurut laporan terbaru dari Proofpoint. Penggunaan Cobalt Strike oleh pelaku ancaman melonjak 161% pada tahun 2020, dari tahun ke tahun, dan alat tersebut telah “muncul dalam data ancaman Proofpoint lebih sering dari sebelumnya” pada tahun 2021, kata perusahaan tersebut.

Dalam hal produk Microsoft sendiri yang mungkin memiliki kerentanan karena penggunaan Log4j, perusahaan telah mengatakan bahwa mereka sedang menyelidiki masalah tersebut. Dalam posting blog terpisah hari Sabtu, Pusat Respons Keamanan Microsoft menulis bahwa tim keamanannya “telah melakukan penyelidikan aktif terhadap produk dan layanan kami untuk memahami di mana Apache Log4j dapat digunakan.”

“Jika kami mengidentifikasi dampak pelanggan, kami akan memberi tahu pihak yang terpengaruh,” kata posting Microsoft.

Menambal kekurangannya

Kerentanan Log4Shell telah memengaruhi versi 2.0 hingga versi 2.14 .1 dari Apache Log4j, dan organisasi disarankan untuk memperbarui ke versi 2.15.0 secepat mungkin. Vendor termasuk Cisco, VMware, dan Red Hat telah mengeluarkan saran tentang produk yang berpotensi rentan.

“Sesuatu yang perlu diingat tentang kerentanan ini adalah bahwa Anda mungkin berisiko tanpa mengetahuinya,” kata Roger Koehler, wakil presiden operasi ancaman di perusahaan deteksi dan respons terkelola Huntress, dalam email. “Banyak organisasi perusahaan dan alat yang mereka gunakan mungkin menyertakan paket Log4j yang disertakan — tetapi penyertaan itu tidak selalu terbukti. Akibatnya, banyak organisasi perusahaan menemukan diri mereka pada belas kasihan vendor perangkat lunak mereka untuk menambal dan memperbarui perangkat lunak unik mereka sebagaimana mestinya.”

Namun, tambalan untuk produk perangkat lunak harus dikembangkan dan diluncurkan oleh vendor, dan kemudian dibutuhkan waktu tambahan bagi bisnis untuk menguji dan menerapkan tambalan. “Prosesnya bisa memakan waktu cukup lama sebelum bisnis benar-benar menambal sistem mereka,” kata Koehler.

Untuk membantu mengurangi risiko sementara itu, solusi mulai muncul untuk tim keamanan.

Penanganan potensial

Satu alat, yang dikembangkan oleh para peneliti di vendor keamanan Cybereason, menonaktifkan kerentanan dan memungkinkan organisasi untuk tetap terlindungi saat mereka memperbarui server mereka, menurut perusahaan.

Setelah menerapkannya, setiap upaya di masa mendatang untuk mengeksploitasi kerentanan Log4Shell tidak akan berhasil, kata Yonatan Striem-Amit, salah satu pendiri dan kepala petugas teknologi di Cybereason. Perusahaan telah menggambarkan perbaikan sebagai “vaksin” karena bekerja dengan memanfaatkan kerentanan Log4Shell itu sendiri. Itu dirilis secara gratis pada Jumat malam.

Namun, tidak ada yang harus melihat alat ini sebagai solusi “permanen” untuk mengatasi kerentanan di Log4j, kata Striem-Amit kepada VentureBeat .

“Idenya bukan bahwa ini adalah solusi perbaikan jangka panjang,” katanya. “Idenya adalah, Anda membeli waktu untuk diri sendiri sekarang dan menerapkan praktik terbaik — menambal perangkat lunak Anda, menerapkan versi baru, dan semua hal lain yang diperlukan untuk kebersihan TI yang baik.”

Kerentanan luas

Kerentanan Log4Shell dianggap sangat berbahaya karena meluasnya penggunaan Log4j dalam perangkat lunak dan karena kelemahannya terlihat cukup mudah untuk dieksploitasi. Cacat RCE pada akhirnya dapat memungkinkan penyerang untuk mengakses dan mengontrol perangkat dari jarak jauh.

Log4Shell adalah “mungkin yang paling signifikan dalam satu dekade” dan mungkin akan menjadi “yang paling signifikan yang pernah ada,” kata CEO Tenable Amit Yoran pada hari Sabtu di Twitter.

Menurut W3Techs, diperkirakan 31,5% dari semua situs web berjalan di server Apache. Daftar perusahaan dengan infrastruktur yang rentan dilaporkan termasuk Apple, Amazon, Twitter, dan Cloudflare.

“Kerentanan ini, yang dieksploitasi secara luas oleh serangkaian aktor ancaman yang terus bertambah, menghadirkan tantangan mendesak bagi pembela jaringan mengingat penggunaannya yang luas, ”kata Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur federal (CISA), dalam sebuah pernyataan yang diposting Sabtu.

VentureBeat

Misi VentureBeat adalah menjadi alun-alun kota digital bagi pengambil keputusan teknis untuk mendapatkan pengetahuan tentang teknologi transformatif dan bertransaksi. Situs kami memberikan informasi penting tentang teknologi data dan strategi untuk memandu Anda saat Anda memimpin organisasi Anda. Kami mengundang Anda untuk menjadi anggota komunitas kami, untuk mengakses:

  • informasi terkini tentang subjek yang Anda minati
  • buletin kami

    • konten pemimpin pemikiran yang terjaga keamanannya dan akses diskon ke acara berharga kami, seperti Transformasi 2021: Belajarlah lagi

  • jaringan fitur, dan banyak lagi

    • Menjadi anggota