'Vaksin' terhadap kerentanan Log4Shell memiliki potensi—dan keterbatasan
Kredit Gambar: Getty Images
Dengarkan dari CIO, CTO , dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah lagi
Sebuah “vaksin” terhadap kerentanan Log4Shell tampaknya menawarkan cara untuk mengurangi risiko dari kelemahan luas yang memengaruhi server yang menjalankan Apache Log4j. Skrip tersebut dikembangkan oleh para peneliti di vendor keamanan Cybereason dan dirilis secara gratis pada Jumat malam, menyusul pengungkapan kerentanan kritis zero-day pada Kamis malam. Kerentanan Log4Shell memengaruhi Apache Log4j, pustaka logging Java open source yang digunakan secara luas di layanan cloud dan perangkat lunak perusahaan. Cacat ini dianggap sangat berbahaya karena dapat mengaktifkan eksekusi kode jarak jauh (RCE)—di mana penyerang dapat mengakses dan mengontrol perangkat dari jarak jauh—dan juga terlihat cukup mudah untuk dieksploitasi. Log4Shell adalah “mungkin yang paling signifikan” dalam satu dekade,” dan mungkin akan menjadi “yang paling signifikan yang pernah ada,” kata CEO Tenable Amit Yoran pada hari Sabtu di Twitter.
Daftar Isi
Kerentanan luas
Menurut W3Techs, diperkirakan 31,5% dari semua situs web berjalan di server Apache. Daftar perusahaan dengan infrastruktur yang rentan dilaporkan termasuk Apple, Amazon, Twitter, dan Cloudflare. Vendor termasuk Cisco, VMware, dan Red Hat telah mengeluarkan peringatan tentang produk yang berpotensi rentan. , menghadirkan tantangan mendesak bagi para pembela jaringan mengingat penggunaannya yang luas,” kata Jen Easterly, direktur Badan Keamanan Infrastruktur dan Keamanan Siber federal (CISA), dalam sebuah pernyataan yang diposting Sabtu.
Kerentanan telah memengaruhi versi 2.0 hingga versi 2.14.1 dari Apache Log4j, dan organisasi disarankan untuk memperbarui ke versi 2.15.0 secepat mungkin.
Membeli waktu Tapi patching bisa menjadi proses yang memakan waktu. Untuk melengkapi upaya patching, Cybereason mengatakan bahwa alatnya—yang disebutnya “Logout4Shell”—memiliki potensi untuk “mengimunisasi” server yang rentan, memberikan perlindungan terhadap eksploitasi penyerang yang menargetkan kelemahan tersebut.
Sementara memperbarui ke versi terbaru Log4j tidak diragukan lagi merupakan solusi terbaik, patching seringkali rumit, membutuhkan siklus rilis dan siklus pengujian, kata Yonatan Striem-Amit, salah satu pendiri dan chief technology officer di Cybereason. “Banyak perusahaan merasa sulit untuk pergi dan menyebarkan patch darurat,” katanya dalam sebuah wawancara dengan VentureBeat. “Vaksin” Logout4Shell pada dasarnya membutuhkan waktu untuk tim keamanan saat mereka bekerja untuk meluncurkan tambalan, kata Striem-Amit. Perbaikan tersebut menonaktifkan kerentanan dan memungkinkan organisasi untuk tetap terlindungi saat mereka memperbarui server mereka, katanya. Cybereason menggambarkan perbaikan tersebut sebagai “vaksin” karena berhasil dengan memanfaatkan kerentanan Log4Shell itu sendiri. “Perbaikan menggunakan kerentanan itu sendiri untuk mengatur bendera yang mematikannya,” tulis Striem-Amit dalam sebuah posting blog. “Karena kerentanannya sangat mudah dieksploitasi dan ada di mana-mana—itu adalah salah satu dari sedikit cara untuk menutupnya dalam skenario tertentu.” Selain itu, perbaikan Cybereason “relatif sederhana” karena hanya keterampilan dasar Java yang diperlukan untuk menerapkannya, tulisnya.
Berpotensi membantu Dengan alat Logout4Shell, tim keamanan dapat “mengambil server yang Anda curigai rentan, dan masukkan tali ke tempat-tempat yang menurut Anda berpotensi rentan. Jika aplikasi Anda tidak rentan sama sekali, tidak akan terjadi apa-apa,” kata Striem-Amit kepada VentureBeat. “Namun, jika server Anda rentan terhadap serangan ini, eksploitasi akan terpicu, yang akan mengunduh kode yang kami berikan, ”katanya. “Dan apa yang dilakukan kode sumber itu adalah masuk ke konfigurasi dan menonaktifkan komponen yang rentan. Jadi server terus berjalan, tidak ada yang lebih bijaksana—tetapi upaya apa pun di masa mendatang untuk mengeksploitasi kerentanan ini sekarang tidak akan menghasilkan apa-apa. Komponen rentan sekarang dinonaktifkan, dan Anda selesai.” Casey Ellis, pendiri dan chief technology officer di bug bounty platform Bugcrowd, mengatakan kepada VentureBeat bahwa Cybereason perbaikan tampaknya efektif dan berpotensi membantu tim keamanan.Ellis mengatakan bahwa karena kerumitan pengujian regresi Log4j, “Saya sudah mendengar dari sejumlah organisasi yang mengejar solusi yang terkandung dalam alat Cybereason sebagai pendekatan utama mereka.” “Masih harus dilihat apakah banyak perusahaan memilih untuk mengeksploitasi kerentanan itu sendiri untuk mencapai hal ini,” katanya. “Tapi saya berharap setidaknya beberapa orang menggunakan alat ini secara selektif dan situasional.” Keterbatasan Namun, ada beberapa batasan untuk perbaikan Cybereason. Untuk satu hal, mitigasi tidak bekerja sebelum versi 2.10 dari Log4j. Eksploitasi juga harus “dibakar dengan benar” agar efektif, kata Ellis. “Dan bahkan ketika itu berjalan dengan benar, itu masih meninggalkan kode yang rentan di tempat,” katanya. Namun, “ini menurut saya sangat pintar ‘ pilihan terakhir,’” kata Ellis. “Banyak organisasi saat ini berjuang untuk menginventarisasi di mana Log4j ada di lingkungan mereka, dan memperbarui komponen seperti ini memerlukan analisis ketergantungan untuk menghindari kerusakan sistem dalam upaya memperbaiki kerentanan.” Semua ini “menambah banyak pekerjaan. Dan memiliki alat ‘api dan lupakan’ untuk membersihkan apa pun yang mungkin terlewatkan di akhir semuanya tampak seperti skenario yang akan dihadapi banyak organisasi, dalam beberapa minggu mendatang, ”katanya.
Pada akhirnya, Ellis mengatakan bahwa dia melihat perbaikan Cybereason sebagai alat tambahan daripada obat untuk semua. “ Ini solusi dengan sejumlah keterbatasan, ”katanya. “[But] ini memiliki potensi yang menarik sebagai alat di kotak alat karena organisasi mengurangi risiko Log4j. Dan jika masuk akal bagi mereka untuk menggunakannya, salah satu alasan utamanya adalah kecepatan untuk mengurangi risiko.”
Umpan balik positif
Striem-Amit mengatakan kepada VentureBeat bahwa dia melihat banyak umpan balik positif tentang Logout4Shell, di Twitter dan situs web lain, tetapi mengatakan bahwa Cybereason tidak melacak penggunaannya.Perusahaan—yang mengatakan bahwa tidak ada produknya sendiri dipengaruhi oleh kerentanan Log4Shell—juga berencana untuk mengembangkan versi alat Logout4Shell yang dapat mendukung versi Log4j sebelumnya, sehingga semua server dapat dilindungi menggunakan metode ini, katanya.
Yang penting, tidak seorang pun harus melihat alat ini sebagai solusi “permanen” untuk mengatasi kerentanan Log4Shell, menurut Striem-Amit.
“ Idenya bukan bahwa ini adalah solusi perbaikan jangka panjang, ”katanya. “Idenya adalah, Anda membeli waktu untuk diri sendiri sekarang dan menerapkan praktik terbaik—tambal perangkat lunak Anda, terapkan versi baru, dan semua hal lain yang diperlukan untuk kebersihan TI yang baik.”
VentureBeat
Misi VentureBeat adalah menjadi alun-alun kota digital bagi pengambil keputusan teknis untuk mendapatkan pengetahuan tentang teknologi dan transaksi transformatif. Situs kami memberikan informasi penting tentang teknologi data dan strategi untuk memandu Anda saat Anda memimpin organisasi Anda. Kami mengundang Anda untuk menjadi anggota komunitas kami, untuk mengakses:
informasi terkini tentang topik yang Anda minati
buletin kami
konten pemimpin pemikiran yang terjaga keamanannya dan akses diskon ke acara berharga kami, seperti Transformasi 2021: Pelajari Lebih Lanjut fitur jaringan, dan banyak lagi
Pilihan vaksin COVID-19 Vaksinasi terhadap COVID-19 adalah cara paling efektif untuk membantu mencegah penyakit serius, rawat inap, dan bahkan kematian akibat penyakit tersebut. Vaksin biasanya dapat ditoleransi dengan baik dan dapat memberikan Anda…
Infeksi Covid Sebelumnya Sama Efektif Mencegah Virus… Topline Orang yang sebelumnya tertular Covid-19 memiliki tingkat perlindungan yang hampir sama terhadap tertular penyakit seperti mereka yang diinokulasi penuh dengan dua vaksin utama, menurut temuan sebuah penelitian yang diterbitkan…
Pemadaman dan Pemulihan: Apa yang Terjadi… Pada hari Selasa, yang seharusnya menjadi Hari Inovasi AWS di re:Invent 2021, Amazon Web Services malah menghadapi pemadaman wilayah lain yang memengaruhi segmen luas internet. Analis dengan Forrester dan Gartner…
Laporan: Kampanye phishing secara aktif menargetkan… 5 Desember 2021 12:15 Kredit Gambar: Mike Kemp // Getty Images Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of…
Autodesk mengakuisisi Moxion Cloud untuk membantu… 19 Januari 2022 7:00 Autodesk telah mengakuisisi Moxion Cloud.Kredit Gambar: Autodesk Bergabunglah dengan pemimpin game, bersama GamesBeat dan Facebook Gaming, untuk GamesBeat & Facebook Gaming Summit Tahunan ke-2 | GamesBeat:…
Ukraina meminta peretas bawah tanah untuk bertahan… Asap mengepul dari wilayah unit Kementerian Pertahanan Ukraina, setelah Presiden Rusia Vladimir Putin mengizinkan operasi militer di Ukraina timur, di Kyiv, Ukraina 24 Februari 2022. REUTERS/Valentyn OgirenkoDaftar sekarang untuk akses…
KubeCon + CloudNativeCon Soroti Keamanan untuk Open Source KubeCon + CloudNativeCon Amerika Utara minggu ini secara langsung dan konferensi virtual menempatkan keamanan untuk pengembangan sumber terbuka kembali menjadi sorotan sementara juga membicarakan peningkatan pesat cloud native. Pryanka Sharma,…
11 Negara Menuntut Administrasi Biden Atas… Topline Jaksa agung dari 11 negara bagian menggugat administrasi Biden pada hari Jumat atas mandat vaksin yang diduga "melanggar hukum" pada perusahaan swasta dengan 100 atau lebih karyawan sebagai Negara…
Varian Baru Bisa 'Sepenuhnya Tahan' Terhadap… Topline Varian baru virus corona dapat “menjadi sepenuhnya kebal terhadap vaksin saat ini atau infeksi masa lalu,” Tedros Adhanom Ghebreyesus, kepala Badan Kesehatan Dunia Organization (WHO), mengatakan pada hari Rabu…
Mandat Vaksin Biden Didorong Hingga Setelah Liburan Bisnis dengan setidaknya 100 karyawan baru saja mendapat lebih banyak waktu untuk mematuhi mandat vaksin federal Presiden Biden.Pada hari Kamis, Biden administrasi mengumumkan bahwa entitas publik dan swasta memiliki waktu…
Pengguna OpenSea Menuntut $1 Juta Karena Pencurian… Waktu Membaca: 2 menitSeorang pengguna OpenSea menggugat platform sebesar $1 juta atas hilangnya NFT Kera Bosan dua minggu lalu Timothy McKimmy kehilangan NFT-nya pada awal Februari yang dijual seharga 0,01…
Seberapa baik vaksin China bekerja melawan omicron? Dengan donasi dan penjualan, China membuat suntikan covid dapat diakses oleh negara berkembang bahkan ketika AS dan UE menimbun vaksin untuk populasi mereka sendiri. Beberapa hari setelah Organisasi Kesehatan Dunia…
Hubungan FSF dengan firmware berbahaya bagi pengguna… FSF memiliki hubungan yang tidak menguntungkan dengan firmware, menghasilkan kebijakan yang masuk akal di akhir 1980-an, tetapi secara aktif merugikan pengguna saat ini, dengan merekomendasikan peralatan usang, yang membutuhkan peningkatan…
Kerentanan eksekusi kode jarak jauh ditemukan di… Singkatnya: Minggu lalu, seorang peneliti menemukan kerentanan dalam versi percobaan yang lebih lama dari perangkat lunak kompresi file WinRAR. Ini memungkinkan eksekusi kode jarak jauh—pada dasarnya memungkinkan penyerang untuk mencegat…
Penyedia rantai pasokan digital Beacon mengumpulkan $50 juta 4 Oktober 2021 16:40 Kredit Gambar: monsitj/Getty Images Bergabunglah dengan para pemimpin game online di GamesBeat Summit Next 9-10 November mendatang. Pelajari lebih lanjut tentang apa yang akan terjadi selanjutnya.…
Malware yang ditulis khusus ditemukan di seluruh… Mengapa penting: Pada bulan Desember 2021, tim keamanan di Intezer mengidentifikasi malware yang ditulis khusus di server web Linux lembaga pendidikan terkemuka. Malware, sejak bernama SysJoker, kemudian ditemukan juga memiliki…
Kebijakan Luar Negeri Korea Selatan di Kawasan Indo-Pasifik Pemerintahan Yoon Suk-yeol akan secara resmi merilis strategi Indo-Pasifik pertama Korea Selatan pada akhir tahun 2022. Peran apa yang akan dimainkan Korea Selatan di kawasan Indo-Pasifik? Seberapa pentingkah Washington dan…
Penghargaan Steam telah diumumkan, Cyberpunk 2077… 3 Januari 2022 17:26 Penghargaan Uap 2021 seperti yang diputuskan oleh AndaKredit Gambar: Katup, Uap Bergabunglah dengan pemimpin game, bersama GamesBeat dan Facebook Gaming, untuk GamesBeat & Facebook Gaming Summit…
Teradata dan Dataiku bergabung untuk meningkatkan… 18 Desember 2021 14:20 Kredit Gambar: Hiroshi Watanabe // Getty Images Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of…
KTT Gratis MetLife Melihat Wanita dan STEM Diterbitkan: 23 Oktober 2021 oleh Editor Bisnis Kecil Dalam Acara Bisnis Kecil 0NS Konferensi tahunan ketiga MetLife Triangle Tech X mengusung tema Women and STEM: Harnessing the Great Reevaluation tahun…
'Kita Harus Menghadapi Kenyataan': Austria… Topline Austria akan memasuki penguncian Covid-19 nasional lainnya dan akan membuat vaksinasi wajib mulai Februari, Kanselir Alexander Schallenberg mengumumkan Jumat, menjadi salah satu dari sedikit negara di dunia yang mengambil…
3 Alat SaaS yang Menyelamatkan Usaha Kecil dari Kekayaan Dengan penguncian tak terduga, biaya kerja jarak jauh baru, dan tentu saja, hanya menjadi bisnis kecil dengan sumber daya terbatas, anggaran ketat pada 2021.Jadi, dengan cara apa pun Anda dapat…
Kemitraan Keamanan Cloud Keamanan cloud adalah tanggung jawab bersama antara bisnis yang memanfaatkan cloud dan penyedia layanan cloud mereka. Untuk menangkal ancaman keamanan siber, penting bagi keduanya untuk benar-benar memahami cara membangun dan…
Crypto tidak menimbulkan risiko besar bagi ekonomi… Kanada adalah salah satu negara pertama yang menyetujui ETF Bitcoin dan merupakan negara terbesar keempat dalam hal tingkat hash. 2093 Total penayangan 50 Jumlah saham Cryptocurrency seperti Bitcoin (BTC) tidak…
Laporan: 69% karyawan fintech mengatakan mereka akan… 15 Januari 2022 16:40 Kredit Gambar: Getty Images Apakah Anda melewatkan sesi dari Future of Work Summit? Kunjungi perpustakaan sesuai permintaan Future of Work Summit kami untuk streaming. Di tengah…
Pelaku Ransomware telah menemukan cara licik untuk… Beranda BeritaKomputasi ) (Kredit gambar: Shutterstock) Peneliti keamanan siber telah menemukan ransomware grup, yang setelah gagal secara langsung enkripsi file korban mereka, menyalinnya ke arsip yang dilindungi kata sandi, sebelum…
Penyerang Menargetkan Log4J untuk Menjatuhkan… Aktor ancaman, termasuk setidaknya satu aktor negara-bangsa, mencoba mengeksploitasi kelemahan Log4j yang baru diungkapkan untuk menyebarkan ransomware, Trojan akses jarak jauh, dan shell Web pada sistem yang rentan. Sementara itu,…
Apple menggugat NSO Group karena menyerang iPhone… Sekarang Apple telah mengikuti WhatsApp dan perusahaan induknya Meta (sebelumnya dikenal sebagai Facebook) dalam menggugat pembuat spyware Pegasus NSO Group. Seiring dengan informasi baru yang menjanjikan tentang bagaimana NSO Group…
Laporan: Trojan perbankan baru naik 80% setiap tahun 14 November 2021 19:15 Kredit Gambar: Karl Tapales // Getty Images Bergabunglah dengan para pemimpin game online di GamesBeat Summit Next 9-10 November mendatang. Pelajari lebih lanjut tentang apa yang…
Apa itu layanan desktop dan bagaimana cara kerjanya? Desktop sebagai layanan (DaaS) adalah model untuk mengirimkan data melalui Internet. Ini adalah cara untuk menyerahkan pengelolaan dan penyimpanan data kepada pihak ketiga. Dengan DaaS, perusahaan dapat fokus pada kompetensi…