Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Log4j

Log4j

Kerentanan Log4j sekarang digunakan oleh peretas yang didukung negara

by

Seperti yang diharapkan, peretas negara-bangsa dari semua jenis telah mengambil kesempatan untuk mengeksploitasi kerentanan kritis yang baru-baru ini diungkapkan (CVE-2021-44228) di library logging berbasis Java Apache Log4j.

Juga dikenal sebagai Log4Shell atau LogJam, kerentanan sekarang digunakan oleh pelaku ancaman yang memiliki kaitan dengan pemerintah di Cina, Iran, Korea Utara, dan Turki, serta broker akses yang digunakan oleh geng ransomware.

Di antara aktor ancaman pertama yang memanfaatkan Log4Shell untuk menjatuhkan muatan adalah grup penambangan cryptocurrency dan botnet, yang mulai menyerang segera setelah kode eksploitasi proof-of-concept tersedia.

Salah satu pelakunya adalah kelompok ancaman Iran Fosfor – juga dilacak sebagai Charming Kitten, APT 35, yang diamati Microsoft “memperoleh dan membuat modifikasi” pada eksploitasi Log4Shell.

Aktor ancaman negara-bangsa lain yang memanfaatkan bug Log4Shell adalah Hafnium, grup peretas yang terkait dengan China.

Microsoft mengatakan bahwa Hafnium sekarang menggunakan Log4Shell dalam serangan terhadap infrastruktur virtualisasi “untuk memperluas penargetan tipikal mereka”.

Terlepas dari aktor negara-bangsa, Microsoft telah mengkonfirmasi bahwa broker yang menyediakan akses jaringan awal ke berbagai kelompok, sebagian besar bermotivasi finansial juga mulai mengeksploitasi kelemahan Log4j.

Broker akses awal biasanya bekerja dengan operasi ransomware-as-a-service (RaaS), di mana mereka menjual akses ke jaringan perusahaan yang disusupi.

Log4Shell juga telah digunakan dalam serangan ransomware dari aktor baru bernama Khonsari, sebuah laporan dari Bitdefender menunjukkan.

Mengingat kerusakan yang dapat disebabkan oleh bug ini, Badan Keamanan Infrastruktur Keamanan Siber (CISA) telah memerintahkan lembaga federal untuk segera menambal sistem yang terpengaruh.

Selengkapnya: Bleeping Computer

Log4j: Seberapa Kacaukah Kita?

by

Bug Apache log4j yang ditemukan beberapa waktu lalu adalah sebuah mimpi buruk. Menurut Jen Easterly, direktur Badan Keamanan Cybersecurity dan Infrastruktur Amerika, ini adalah “salah satu yang paling serius” yang dia lihat dalam “masa karirnya.”

Meskipun pengguna web sehari-hari tidak dapat berbuat banyak tentang seluruh situasi ini, mungkin bermanfaat untuk mengetahui apa yang terjadi. Inilah ikhtisar singkat tentang semua mimpi buruk itu.

Bug Terburuk di Web

Pustaka logging Log4j diimplementasikan oleh para engineer untuk merekam bagaimana program berjalan; mereka memungkinkan audit kode dan merupakan mekanisme rutin untuk menyelidiki bug dan masalah fungsionalitas lainnya.

Karena log4j gratis dan dipercaya secara luas, perusahaan besar dan kecil telah menggunakannya untuk semua jenis hal. Ironisnya, tentu saja, alat pemeriksa bug ini sekarang memiliki bug.

Peneliti keamanan telah menyebut kerentanan tersebut sebagai “Log4Shell” karena eksploitasi yang tepat dapat mengakibatkan akses shell (juga disebut “akses kode jarak jauh”) ke sistem server. Kerentanan tersebut membawa peringkat keparahan 10 pada skala Sistem Skor Kerentanan Umum.

Secara teknis, bug tersebut adalah kerentanan eksekusi kode jarak jauh zero-day, yang berarti “memungkinkan penyerang mengunduh dan menjalankan skrip pada server yang ditargetkan, membiarkannya terbuka untuk kendali jarak jauh”, ungkap Bitdefender.

Siapa yang Terkena Dampak?

Karena keberadaan log4j yang ada di mana-mana, sebagian besar platform terbesar di internet rentan dengan bencana tersebut. Menurut berbagai laporan, yang terkena dampak termasuk nama-nama besar seperti Apple, Twitter, Amazon, LinkedIn, CloudFlare, dan banyak lagi.

Amazon jelas merupakan salah satu perusahaan terbesar dalam daftar tersebut. Raksasa teknologi telah secara teratur menerbitkan pembaruan yang terkait dengan produk dan layanannya (yang tampaknya ada beberapa), sementara Apple, baru-baru ini mengkonfirmasi bahwa iCloud terpengaruh oleh bug tersebut dan kemudian telah menambal nya.

Perusahaan lain masih menyelidiki apakah mereka telah terdampak atau tidak, termasuk raksasa teknologi seperti Blackberry, Dell, Huawei, dan Citrix, serta perusahaan teknologi terkemuka seperti SonicWall, McAfee, TrendMicro, Oracle, Qlik, dan banyak lagi lainnya.

Serangan: Datang

Sebagian besar masalahnya adalah bahwa sebagian besar penjahat tampaknya telah mengetahui tentang kerentanan log4j pada waktu yang hampir bersamaan dengan orang lain.

Dengan demikian, upaya eksploitasi pada sistem dan platform yang rentan telah meningkat secara eksponensial sejak minggu lalu—karena peretas di seluruh web dengan fanatik berusaha memanfaatkan situasi unik yang mengerikan ini.

“Sangat mungkin bahwa ransomware pada akhirnya akan memanfaatkan kerentanan log4j. Terutama karena sistem yang rentan kemungkinan merupakan aset penting seperti server,” kata Sergio Caltagirone, Wakil Presiden Intelijen Ancaman di perusahaan keamanan siber Dragos.

Memang benar, perusahaan keamanan siber Bitdefender menerbitkan penelitian pada hari Selasa yang tampaknya menunjukkan upaya eksploitasi pada mesin yang rentan oleh keluarga ransomware baru yang dikenal sebagai “Khonsari”.

Dan, sementara ransomware adalah salah satu perhatian utama, profesional keamanan siber lainnya telah menulis tentang berbagai macam upaya eksploitasi yang mereka lihat—seperti yang menjalankan keseluruhan mulai dari cryptomining dan instalasi botnet, hingga lebih banyak aktivitas jenis pengintaian, seperti pemindaian umum dan penyebaran suar Cobalt-Strike.

Jika Anda pengguna web biasa, satu-satunya hal yang benar-benar dapat Anda lakukan saat ini adalah memperbarui perangkat dan aplikasi Anda saat diminta dan berharap platform yang Anda andalkan cukup cepat untuk mengidentifikasi kerentanan, membuat patch, dan mendorong pembaruan.

Selengkapnya: Gizmodo

Cara menguji apakah server Linux Anda rentan terhadap Log4j

by

Kerentanan Log4j adalah masalah yang serius. Cacat zero-day ini memengaruhi library Log4j dan dapat memungkinkan penyerang mengeksekusi kode berbahaya pada sistem yang bergantung pada Log4j untuk menulis pesan log.

Salah satu masalah besar adalah mengetahui apakah Anda rentan. Ini diperumit dengan banyaknya cara Log4j dapat digunakan.

Untungnya, untuk server Linux, pengguna GitHub, Rubo77 membuat skrip yang akan memeriksa paket yang menyertakan instance Log4j yang rentan.

Ini masih dalam versi beta, dan ini bukan 100%, tetapi ini adalah awal yang bagus. Pahami, skrip ini tidak menguji file jar yang dikemas dengan aplikasi, jadi jangan menganggapnya lebih dari titik peluncuran untuk memulai forensik Anda.

Inilah cara Anda dapat menjalankan skrip yang sama di server Linux Anda untuk mengetahui apakah Anda mungkin rentan. Masuk ke server Anda dan jalankan perintah:

wget https://raw.githubusercontent.com/rubo77/log4j_checker_beta/main/log4j_checker_beta.sh -q -O – | bash

Output dari perintah akan memberi Anda beberapa indikasi jika server Anda rentan. Seperti yang Anda lihat pada gambar di bawah ini.

Created with GIMP

Ingat, skrip ini bukan jaminan, tetapi tempat yang baik untuk memulai. Meskipun output yang dihasilkan mengatakan server Anda tidak rentan, terus gali untuk memastikan Anda telah memperbarui setiap paket yang diperlukan untuk menghindari terkena kerentanan ini.

Sumber: Tech Republic

Kerentanan Log4j kedua ditemukan, tambalan sudah dirilis

by

Kerentanan kedua yang melibatkan Apache Log4j ditemukan pada hari Selasa setelah pakar keamanan siber menghabiskan waktu berhari-hari untuk mencoba menambal atau memitigasi CVE-2021-44228.

Deskripsi kerentanan baru, CVE 2021-45046, mengatakan perbaikan untuk mengatasi CVE-2021-44228 di Apache Log4j 2.15.0 “tidak lengkap dalam konfigurasi non-default tertentu.”

“Ini dapat memungkinkan penyerang… untuk membuat data input berbahaya menggunakan pola JNDI Lookup yang menghasilkan serangan penolakan layanan (DOS),” kata deskripsi CVE.

Apache telah merilis patch, Log4j 2.16.0, untuk masalah ini. CVE mengatakan Log4j 2.16.0 memperbaiki masalah dengan menghapus dukungan untuk pola pencarian pesan dan menonaktifkan fungsionalitas JNDI secara default. Ini mencatat bahwa masalah dapat dimitigasi dalam rilis sebelumnya dengan menghapus kelas JndiLookup dari classpath.

Kerentanan asli di Log4j, perpustakaan Java untuk mencatat pesan kesalahan dalam aplikasi, telah mendominasi berita utama sejak minggu lalu. Eksploitasi dimulai pada 1 Desember, menurut Cloudflare, dan peringatan awal oleh CERT Selandia Baru dipicu oleh CISA dan National Cyber Security Centre Inggris.

Perusahaan keamanan internasional ESET merilis peta yang menunjukkan di mana upaya eksploitasi Log4j telah dilakukan, dengan volume tertinggi terjadi di AS, Inggris, Turki, Jerman, dan Belanda.

Sumber: ZDNet

Selengkapnya: ZDNet

Ransomware baru sekarang digunakan dalam serangan Log4Shell

by

Kasus publik pertama dari kerentanan Log4j Log4Shell yang digunakan untuk mengunduh dan menginstal ransomware telah ditemukan oleh para peneliti.

Jumat lalu, eksploitasi publik dirilis untuk kerentanan kritis zero-day bernama ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Log4j adalah kerangka kerja pengembangan yang memungkinkan pengembang untuk menambahkan log event dan error ke dalam aplikasi Java mereka.

Kerentanan ini memungkinkan aktor ancaman untuk membuat string JNDI khusus yang, ketika dibaca oleh Log4j, menyebabkan platform terhubung dan mengeksekusi kode di URL yang disertakan. Ini memungkinkan penyerang untuk dengan mudah mendeteksi perangkat yang rentan atau mengeksekusi kode yang disediakan oleh situs jarak jauh atau melalui string yang disandikan Base64.

Meskipun kerentanan ini telah diperbaiki di Log4j 2.15.0 dan bahkan diperketat lebih lanjut di Log4j 2.16.0, kerentanan ini dimanfaatkan secara luas oleh pelaku ancaman untuk menginstal berbagai malware, termasuk penambang koin, botnet, dan bahkan Cobalt Strike.

Kemarin, BitDefender melaporkan bahwa mereka menemukan keluarga ransomware pertama yang diinstal langsung melalui eksploitasi Log4Shell.

Eksploitasi mengunduh Java class dari hxxp://3.145.115[.]94/Main.class yang dimuat dan dijalankan oleh aplikasi Log4j.

Setelah dimuat, itu akan mengunduh binary .NET dari server yang sama untuk menginstal ransomware baru [VirusTotal] bernama ‘Khonsari.’

Dalam serangan selanjutnya, BitDefender memperhatikan bahwa pelaku ancaman ini menggunakan server yang sama untuk mendistribusikan Trojan Orcus Remote Access.

Selengkapnya: Bleeping Computer

Peretas mulai menyebarkan malware dalam serangan Log4Shell di seluruh dunia

by

Dilansir dari Bleeping Computer, pelaku dan peneliti ancaman sedang memindai dan mengeksploitasi kerentanan Log4j Log4Shell untuk menyebarkan malware atau menemukan server yang rentan. Dalam artikel tersebut Bleeping Computer telah mengkompilasi muatan, scanner, dan serangan yang diketahui menggunakan kerentanan Log4j.

Jumat pagi, exploit dirilis secara publik untuk kerentanan kritis zero-day yang dijuluki ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Kerentanan ini memungkinkan penyerang untuk mengeksekusi perintah dari jarak jauh pada server yang rentan hanya dengan mencari atau mengubah user agent browser mereka ke string khusus.

Segera setelah itu, Apache merilis Log4j 2.15.0 untuk mengatasi kerentanan tersebut, tetapi pelaku ancaman sudah mulai memindai dan mengeksploitasi server yang rentan untuk mengekstrak data, menginstal malware, atau mengambil alih server.

Karena perangkat lunak ini digunakan di ribuan aplikasi dan situs web perusahaan, ada kekhawatiran signifikan bahwa perangkat lunak ini akan mengarah pada serangan yang meluas dan penyebaran malware.

Di bawah ini Bleeping Computer menguraikan serangan yang diketahui saat ini yang memanfaatkan kerentanan Log4j.

Cryptominer

Segera setelah kerentanan dirilis, Bleeping Computer melihat aktor ancaman mengeksploitasi kerentanan Log4Shell untuk mengeksekusi skrip shell yang mengunduh dan menginstal berbagai cryptominers, seperti yang ditunjukkan di bawah ini.

Pelaku ancaman di balik backdoor Kinsing dan botnet cryptomining menyalahgunakan kerentanan Log4j dengan muatan yang disandikan Base64 yang membuat server rentan mengunduh dan menjalankan skrip shell.

Botnet Mirai dan Muhstik

Netlab 360 melaporkan bahwa pelaku ancaman mengeksploitasi kerentanan untuk menginstal malware Mirai dan Muhstik pada perangkat yang rentan.

Keluarga malware ini merekrut perangkat dan server IoT ke dalam botnet mereka dan menggunakannya untuk menyebarkan cryptominers dan melakukan serangan DDoS skala besar.

Pemindaian dan pengungkapan informasi

Selain menggunakan eksploitasi Log4Shell untuk menginstal malware, pelaku ancaman dan peneliti keamanan menggunakan exploit untuk memindai server yang rentan dan mengekstrak informasi dari mereka.

Peneliti menggunakan exploit untuk memaksa server yang rentan mengakses URL atau melakukan permintaan DNS untuk callback domain. Ini memungkinkan peneliti atau aktor ancaman untuk menentukan apakah server rentan dan menggunakannya untuk serangan, penelitian, atau upaya di masa mendatang untuk mengklaim hadiah bug bounty.

Karena itu, sangat penting bagi semua pengguna untuk menginstal versi terbaru Log4j atau aplikasi yang terpengaruh untuk mengatasi kerentanan ini sesegera mungkin.

Selengkapnya: Bleeping Computer