banner large

Cacat Log4j: Mengapa masih akan menyebabkan masalah satu dekade dari sekarang

Comment
X
Share
hacker-tangan-mengetik-on-a-keyboard.jpg

Gambar: Getty

Meskipun upaya terkoordinasi dengan baik untuk menggalang organisasi untuk menambal kelemahan perangkat lunak sumber terbuka utama, pejabat keamanan siber tidak melihat akhir dari masalah Log4Shell setidaknya selama satu dekade.

Itulah kesimpulan dari The Cyber ​​Safety Review Board (CSRB), sebuah kelompok yang didirikan pada bulan Februari di belakang perintah eksekutif keamanan siber Presiden AS Joe Biden, yang menuntut tanggapan nasional terhadap insiden keamanan siber besar. Tugas pertama grup ini adalah meninjau kelemahan Log4Shell di pustaka log aplikasi Java Log4j. Laporan dan rekomendasi dewan dikeluarkan sekarang melalui Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri.

CISA dengan cepat memerintahkan semua agen federal untuk menambal Log4J dengan kemampuan terbaik mereka seminggu setelah kelemahan eksekusi kode jarak jauh terungkap pada 9 Desember 2021. Itu dianggap sebagai ancaman serius karena komponen logging sumber terbuka dan gratis, yang dikelola oleh Apache Software Foundation (ASF), diimplementasikan pada produk dari VMware, IBM, Oracle, Cisco, SolarWinds, dan lainnya.

MELIHAT: Ini adalah ancaman keamanan siber masa depan yang harus Anda pikirkan hari ini

Log4Shell hadir di ratusan juta perangkat perusahaan yang berpotensi terpapar ke internet. Namun, terlepas dari atau karena upaya patching besar-besaran yang dipimpin AS, sebulan setelah cacat itu diungkapkan, CISA tidak mengamati adanya gangguan yang signifikan.

Pada saat itu, CISA memperingatkan bahwa mungkin perlu berbulan-bulan sebelum penyerang menerkam dan Komisi Perdagangan Federal mengisyaratkan akan menghukum organisasi AS karena tidak bertindak.

Menurut CSRB, Log4Shell sekarang “endemik” dan diperkirakan akan memengaruhi sistem hingga setidaknya 2032.

“Yang paling penting, bagaimanapun, peristiwa Log4j belum berakhir. Dewan menilai bahwa Log4j adalah ‘kerentanan endemik’ dan contoh rentan Log4j akan tetap ada dalam sistem selama bertahun-tahun yang akan datang, mungkin satu dekade atau lebih. Risiko yang signifikan tetap ada, “tulis dewan.

Pandangan itu sejalan dengan peringatan tetap Microsoft bahwa ancaman Log4Shell bagi pelanggan Azure tetap tinggi. Microsoft pada bulan Desember hanya mengamati bahwa itu digunakan untuk menyebarkan malware penambangan kripto tetapi memperingatkan peretas yang disponsori negara sedang menyelidiki sistem untuk itu.

CSRB merinci malapetaka yang disebabkannya para peneliti, admin, insinyur perangkat lunak, dan pengelola sumber terbuka yang dimaksudkan untuk liburan Natal setelah hampir dua tahun meningkatkan teknologi WFH selama pandemi.

“Pembela menghadapi situasi yang sangat menantang; kerentanan berdampak pada hampir setiap organisasi jaringan dan keparahan ancaman memerlukan tindakan cepat. Fakta bahwa tidak ada ‘daftar pelanggan’ yang komprehensif untuk Log4j, atau bahkan daftar di mana ia terintegrasi sebagai sub-sistem, menghambat kemajuan bek,” tulis penulis CSRB Robert Silvers dan Heather Adkins.

Laporan itu mengatakan perusahaan dan vendor bergegas untuk menemukan di mana mereka menggunakan Log4j dan “kecepatan, tekanan, dan publisitas” menambah tantangan defensif karena peneliti keamanan dengan cepat menemukan kerentanan tambahan di Log4j, berkontribusi pada kebingungan dan “penambalan kelelahan”. Dikatakan bahwa para pembela berjuang untuk membedakan pemindaian kerentanan oleh peneliti bonafide dari aktor ancaman; dan responden merasa sulit untuk menemukan sumber informasi yang otoritatif tentang cara mengatasi masalah tersebut.

“Ini memuncak dalam salah satu respons komunitas keamanan siber paling intensif dalam sejarah,” katanya.

“Para responden, yang mencakup sektor publik dan swasta, komunitas open source, dan peneliti global, berkolaborasi dan berkomunikasi dengan cara yang berdedikasi, bekerja sepanjang akhir pekan dan liburan Desember.”

Menjelaskan besarnya tugas yang ada, CSRB mencatat bahwa satu agen federal menghabiskan 33.000 jam untuk menambal eksposur Log4j di jaringan. Ini menciptakan tumpukan pekerjaan pada kerentanan kritis lainnya, yang pada tahap itu ditandai oleh CISA sebagai kewajiban bagi agen federal untuk menambal melalui Katalog Kerentanan yang Diketahui yang Dieksploitasi.

Namun, dewan mengakui “agak mengejutkan” bahwa “sampai saat ini, secara umum, eksploitasi Log4j terjadi pada tingkat yang lebih rendah daripada yang diperkirakan banyak ahli, mengingat tingkat keparahan kerentanan”.

“Sulit untuk sampai pada kesimpulan ini,” para penulis melanjutkan. “Sementara vendor keamanan siber dapat memberikan beberapa bukti eksploitasi yang bersifat anekdot, tidak ada sumber resmi untuk memahami tren eksploitasi di seluruh geografi, industri, atau ekosistem. Banyak organisasi bahkan tidak mengumpulkan informasi tentang eksploitasi Log4j tertentu, dan pelaporan sebagian besar masih bersifat sukarela.”

Daftar rekomendasi CSRB mencakup banyak kegiatan yang telah dilakukan oleh pemerintah AS dan perusahaan teknologi besar untuk meningkatkan keamanan perangkat lunak sumber terbuka. Upaya Google termasuk meningkatkan keamanan paket untuk bahasa pemrograman, mendukung proyek sumber terbuka penting dengan lebih banyak dana, membuat paket sumber terbuka, mendorong kerangka kerja Tingkat Rantai Pasokan untuk Artefak Perangkat Lunak, atau SLSA, dan memberikan keamanan otentikasi dua faktor kepada pengembang Python kunci. Investasi ini datang pada saat 41% organisasi meragukan keamanan perangkat lunak sumber terbuka mereka.

MELIHAT: Google: Setengah dari eksploitasi zero-day terkait dengan perbaikan perangkat lunak yang buruk

Organisasi harus bersiap untuk menangani Log4J dalam jangka panjang sementara regulator negara bagian dan federal harus mendorong rekomendasi mitigasi CISA, menurut tinjauan dewan. Organisasi juga harus mendokumentasikan respon kerentanan dan program pengungkapan.

Vendor perangkat lunak sumber terbuka untuk agen federal juga harus memiliki dasar untuk transparansi. Dan AS harus berinvestasi dalam struktur insentif yang diperlukan untuk membangun perangkat lunak yang aman.

Fokus pada Log4Shell mungkin merupakan cara yang baik untuk menyentak agen dan bisnis AS agar bertindak atas keamanan pengembangan perangkat lunak, tetapi Dan Lorenc, CEO Chainguard dan pemimpin upaya penandatanganan kode sumber terbuka Sigstore, mengatakan bahwa akan menjadi sulit ketika kelemahan seperti Log4J adalah kerentanan karena cara teknologi diterapkan oleh pelanggan. Artinya, ketika admin tidak menerapkan prinsip perangkat dengan hak paling rendah.

“Dengan Log4j, mencegah seluruh kelas bug yang menyebabkannya akan sulit dengan teknologi saat ini, tetapi hal-hal seperti fuzzing dan desain bahasa/perpustakaan yang aman-by-default dapat banyak membantu. Tetapi eksploitasi penuh masih membutuhkan perpustakaan untuk berjalan di lingkungan dengan izin yang signifikan, banyak di antaranya tidak mungkin diperlukan,” katanya.

Leave a Reply

Your email address will not be published. Required fields are marked *