Technology

Kerentanan Log4j tetap ‘endemik’, kata US DHS – Keamanan – Perangkat Lunak

Departemen Keamanan Dalam Negeri AS telah memperingatkan bahwa dunia kemungkinan akan menghadapi dampak dari kerentanan Log4j selama satu dekade atau lebih.

Log4j – juga dikenal sebagai Log4shell – adalah kerentanan kritis di perpustakaan logging Java yang dapat digunakan untuk eksekusi kode jarak jauh dan untuk mendapatkan kontrol penuh atas jutaan sistem perusahaan yang rentan.

Setelah Log4j, pemerintah AS meminta Dewan Peninjau Keamanan Cyber ​​(CSRB), yang didirikan pada Februari tahun ini, untuk melaporkan Log4j sebagai tinjauan pertamanya.

Dalam laporan pertamanya [pdf]CSRB mengatakan bahwa meskipun sumber daya “signifikan” ditujukan untuk mengurangi Log4j – satu departemen kabinet federal dilaporkan menghabiskan 33.000 jam untuk tanggapannya – bug tersebut kemungkinan akan tetap menjadi “kerentanan endemik”.

Laporan itu mengatakan “contoh Log4j yang rentan akan tetap ada dalam sistem selama bertahun-tahun yang akan datang, mungkin satu dekade atau lebih. Risiko signifikan tetap ada.”

Log4j menciptakan “permukaan serangan yang sangat besar”, dan karena industri perangkat lunak tertinggal dalam menyediakan “tagihan bahan” untuk produknya (sehingga sulit untuk menemukan apakah produk tertentu menggunakan perpustakaan), sulit bagi tim respons untuk mengidentifikasi apakah kode ada di sistem mereka.

Berita bagus? Sejauh ini, “Dewan tidak mengetahui adanya serangan berbasis Log4j yang signifikan pada sistem infrastruktur penting.”

“Agak mengejutkan, Dewan juga menemukan bahwa hingga saat ini, secara umum, eksploitasi Log4j terjadi pada tingkat yang lebih rendah daripada yang diperkirakan banyak ahli, mengingat tingkat keparahan kerentanan”, kata laporan itu.

Laporan tersebut menyoroti pentingnya pelaporan serangan wajib, yang masih dalam tahap awal di seluruh dunia, karena “tidak ada sumber resmi untuk memahami tren eksploitasi di seluruh geografi, industri, atau ekosistem”, sebagian karena pelaporan sebagian besar bersifat sukarela.

Rekomendasi dalam tinjauan termasuk terus menangani risiko khusus untuk Log4j, meningkatkan kebersihan keamanan, meningkatkan ekosistem perangkat lunak, dan melanjutkan investasi dalam keamanan.

Posted By : pengeluaran hk hari ini 2021