Log4Shell adalah salah satu yang muncul dalam pelanggaran data selama dekade berikutnya
Minggu ini menandai peringatan pertama penemuan kerentanan Log4j/Log4Shell yang memengaruhi pustaka logging Java. Dan meskipun satu tahun telah berlalu sejak kejadian tersebut, jumlah unduhan Log4j versi rentan masih tinggi, karena telah dihitung sekitar 30-40% dari semua unduhan adalah untuk versi terbuka.
Seperti yang baru-baru ini diberitakan, banyak organisasi tetap rentan meskipun versi yang ditambal segera tersedia.
Bagi mereka yang tidak menyadari kerentanan, mereka harus tahu itu terkenal karena serangan dapat dilakukan pada aplikasi Java yang merekam nilai yang diperoleh dari sumber eksternal, misalnya dengan menampilkan nilai bermasalah dalam pesan kesalahan.
Kerentanan Log4j adalah peringatan untuk semua organisasi dan momen yang ingin dilupakan oleh banyak profesional keamanan. Namun, dengan meluasnya penggunaan Log4j dan berkembangnya jaringan server internal dan pihak ketiga untuk penambalan, kerentanan akan terasa lama.
Teramati bahwa hampir semua proyek yang menggunakan kerangka kerja seperti Apache Struts, Apache Solr, Apache Druid atau Apache Flink terpengaruh termasuk Steam, Apple iCloud, klien dan server Minecraft.
Sonatype telah diproduksi pusat sumber daya untuk ditampilkan kondisi kerentanan saat ini, serta alat untuk membantu perusahaan memindai kode sumber terbuka mereka untuk melihat apakah itu terpengaruh.
Dasbor menunjukkan persentase unduhan Log4j yang masih rentan (saat ini sekitar 34% sejak Desember lalu). Itu juga menunjukkan bagian dunia yang telah melihat persentase unduhan rentan tertinggi.
Brian Fox, CTO Sonatype, berkata:
Log4j adalah pengingat yang gamblang tentang pentingnya mengamankan rantai pasokan perangkat lunak. Itu digunakan di hampir semua aplikasi modern dan memengaruhi layanan organisasi di seluruh dunia. Satu tahun setelah insiden Log4Shell, situasinya tetap suram. Menurut data kami, 30-40% dari semua unduhan Log4j adalah untuk versi yang rentan, meskipun tambalan dirilis dalam waktu 24 jam setelah pengungkapan kerentanan prematur.
Selain itu, ia menambahkan bahwa ini adalah:
Sangat penting bagi organisasi untuk menyadari bahwa sebagian besar risiko open source terletak pada konsumen, yang harus menerapkan praktik terbaik daripada menyalahkan kode yang salah. Log4j bukanlah insiden yang terisolasi: 96% unduhan komponen sumber terbuka yang rentan memiliki versi yang ditambal.
Organisasi membutuhkan visibilitas yang lebih baik dari setiap komponen yang digunakan dalam rantai pasokan perangkat lunak mereka. Inilah sebabnya mengapa solusi analisis komposisi perangkat lunak yang berkualitas sangat penting saat ini karena dunia merenungkan kegunaan SBOM di masa depan.
Kebijakan perangkat lunak Inggris dan Eropa harus mewajibkan konsumen komersial perangkat lunak bebas untuk dapat melakukan penarikan yang setara dengan penarikan khusus, seperti yang diharapkan oleh produsen barang fisik seperti industri mobil. Visibilitas umum akan memberikan manfaat tambahan bagi organisasi, seperti kemampuan untuk membuat keputusan tentangnya.
Saat kita pergi menjadi jelas bahwa peretas akan terus mengeksploitasi kerentanan tersebut. Pada bulan Februari, peretas yang disponsori negara Iran menggunakan kelemahan tersebut untuk memasuki jaringan pemerintah AS, menambang cryptocurrency secara ilegal, mencuri kredensial, dan mengubah kata sandi. Kemudian, pada bulan Oktober, sebuah kelompok yang terkait dengan pemerintah China menggunakan kerentanan tersebut untuk melancarkan serangan terhadap berbagai sasaran, termasuk negara Timur Tengah dan produsen elektronik.
Kerentanan Log4j terus memengaruhi perusahaan saat ini. Itu secara konsisten menempati peringkat pertama atau kedua dalam laporan ancaman dari berbagai konsultan keamanan siber, memengaruhi 41% organisasi secara global pada Oktober 2022.