Pakar keamanan di seluruh dunia pada Jumat (10/12), berupaya untuk menambal salah satu kerentanan komputer terburuk yang ditemukan selama bertahun-tahun.
Kerentanan komputer ini adalah sebuah kelemahan kritis dalam kode sumber terbuka yang banyak digunakan di seluruh industri dan pemerintah dalam layanan cloud dan perangkat lunak perusahaan.
Bug berbahaya yang dapat meganggu keamanan itu bernama "Log4Shell", dengan kode CVE-2021-44228 telah diidentifikasi oleh para pakar keamanan siber. Bug ini berpotensi membuat banyak pihak resah.
Bug ini bisa dieksploitasi dengan mudah oleh para pihak yang tidak bertanggung jawab, salah satunya seperti peretas (hacker) untuk membobol sebuah server atau aplikasi hanya dengan menggunakan sejumlah kode saja.
Jika sudah dibobol, maka hacker otomatis bisa melakukan apa saja, termasuk mencuri beragam data pengguna dan menanamkan aneka program berbahaya (malware) yang bisa menghadirkan dampak buruk lainnya.
Menurut Bleeping Computer, kerentanan Log4Shell memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan, dengan mencari atau mengubah browser milik korban menjadi special string.
Saudara malware ini juga merekrut perangkat IoT dan server menjadi botnet dan menggunakannya untuk menerapkan cryptominers dan menjalankan serangan DDoS berskala besar.
Apa itu Log4Shell?
Mirip seperti namanya, celah keamanan ini ditemukan di dalam software pencatat riwayat kegiatan aplikasi atau platform (logging utility) berbasis open source, alias gratis milik Apache Software Foundation yang dijuluki "Log4J".
Kehadiran software Log4J ini berguna untuk mengetahui dan menelusuri suatu kerusakan (error) pada sebuah server atau aplikasi.
Kerusakan itu bisa dilihat berdasarkan riwayat operasional atau jalannya aplikasi atau server tersebut. Ketika ada malfungsi, misalnya, maka Log4J bakal mencatat kejadian tersebut, sehingga bisa dijadikan referensi untuk perbaikan di masa depan. Jutaan server bahkan telah menginstalnya.
Tim tanggap darurat komputer Selandia Baru adalah salah satu yang pertama melaporkan bahwa kelemahan dalam utilitas Java language untuk server Apache yang digunakan untuk mencatat aktivitas pengguna sedang dieksploitasi secara aktif di alam liar hanya beberapa jam setelah dilaporkan kepada publik pada Kamis (9/12) dan patch dirilis.
Kerentanan yang dijuluki Log4Shell ini diberi peringkat 10 pada skala satu hingga 10. Artinya, kemungkinan terburuk. Siapapun yang memiliki eksploitasi bisa mendapatkan akses penuh ke mesin yang belum ditambal.
“Orang-orang berebut untuk menambal dan ada script kiddies (peretas junior) dan semua jenis orang berebut untuk mengeksploitasinya,” kata Adam Meyers, wakil presiden intelijen di perusahaan keamanan siber Crowdstrike.
Berdasarkan laporan dari Microsoft Threat Intelligence, kerentanan Log4j juga dipakai untuk mengeksploitasi guna menjatuhkan Cobalt Strike. Dimana Cobalt Strike sendiri dipakai untuk menyerang perangkat, untuk menjalankan pengawasan jaringan jarak jauh atau melaksanakan perintah lebih lanjut.
Untuk itulah seluruh pengguna yang menjalankan server di Log4j diminta untuk menginstal versi terbaru dari Log4j atau aplikasi terbaru yang memakai Log4j sesegera mungkin.
Menurut sejumlah peneliti keamanan, software Log4J sendiri banyak digunakan oleh beragam server atau aplikasi yang terhubung dengan internet, salah satunya adalah Minecraft, game yang pertama kali mengumumkan ada celah keamanan Log4Shell.
Di game Minecrsaft, peretas bisa mengirimkan sejumlah kode berbahaya dengan mudah hanya melalui fitur chatting untuk menyerang komputer target.
Diakrenakan esensi Log4J akan mencatat seluruh percakapan atau aktivitas di suatu server atau aplikasi, maka kode yang dikirimkan peretas itu juga akan ikut terekam, sehingga para peretas bisa masuk ke dalam server dan membobolnya.
Sementara itu, pihak Apache Software Foundation sendiri sudah menghadirkan pembaruan terhadap software logging tersebut, dua minggu setelah kasus pertama dilaporkan pada 24 November lalu.
Namun, karena Log4J digunakan dan mungkin dimodifikasi oleh banyak server dan aplikasi, penambalan (patch) bug Log4Shell ini harus diterapkan secara mandiri oleh pihak yang menggunakan Log4J.
Beberapa aplikasi yang menggunakan Log4J, termasuk Minecraft sudah menggelontorkan pembaruan. Namun, masih banyak penyedia aplikasi yang terhubung dengan internet yang belum menerapkan perbaikan.