Apa yang harus dilakukan?
Apache memberi kerentanan peringkat “kritis” dan bergegas mencari solusi. Sekarang ratusan ribu tim IT berjuang untuk memperbarui Log4j ke versi 2.15.0, yang di rilis sebelum kerentanan di publikasikan dan sebagian besar memperbaiki masalah.
Tim juga perlu memeriksa kode mereka untuk mengetahui potensi kerentanan dan mengawasi upaya peretasan.
Sementara tambalan untuk memperbaiki masalah seperti ini dapat muncul dengan sangat cepat, terutama ketika tambalan tersebut diungkapkan secara bertanggung jawab kepada tim pengembangan, perlu waktu bagi semua orang untuk menerapkannya.
Komputer dan layanan web sekarang sangat kompleks, dan sangat berlapis dengan lusinan tingkat abstraksi yang bertumpuk, kode yang berjalan di atas kode, di atas kode, sehingga perlu waktu berbulan-bulan untuk memperbarui semua layanan ini.
Dan akan selalu ada beberapa yang tidak pernah melakukannya. Banyak sudut internet yang berdebu ditopang oleh perangkat keras yang sudah tua dengan kode yang usang dan rentan – sesuatu yang dapat dengan mudah dieksploitasi oleh peretas.
Bagaimana peretas bisa beraksi?
Peretas dapat mengelabui Log4j agar menjalankan kode berbahaya dengan memaksanya menyimpan entri log yang menyertakan string teks tertentu.
Cara peretas melakukan ini bervariasi dari satu program ke program lainnya, tetapi di Minecraft, telah dilaporkan bahwa ini dilakukan melalui kotak obrolan.
Entri log dibuat untuk mengarsipkan setiap pesan ini, jadi jika string teks berbahaya dikirim dari satu pengguna ke pengguna lain, itu akan ditanamkan ke dalam log.
Dalam kasus lain, server Apple ditemukan membuat entri log yang merekam nama yang diberikan ke iPhone oleh pemiliknya di pengaturan.
Bagaimanapun dilakukan, setelah trik ini tercapai, penyerang dapat menjalankan kode apa pun yang mereka suka di server, seperti mencuri atau menghapus data sensitif.*
