Peluang apa yang diberikan kepada para hacker dari celah keamanan yang terbuka itu?
Para penyerang bisa menyiasati software Log4j menjadi menjalankan kode jahat dengan cara memaksanya menyimpan sebuah log entry yang mencakup di dalamnya serangkaian teks. Cara hacker melakukannya beragam dari program ke program. Dalam kasus yang ditemukan di Minecraft, caranya adalah melalui chat box. Sebuah log entry diciptakan untuk mengarsip setiap pesan sehingga jika serangkaian teks berbahaya dikirim dari satu pengguna ke pengguna lain, teks itu kan tertanam ke dalam log.
Dalam kasus yang lain, server Apple ditemukan menciptakan sebuah log entry yang merekam nama-nama yang diberikan ke sebuah iPhone oleh penggunanya dalam setelan (setting). Dari log entry ini, penyerang bisa menjalankan kode apapun yang mereka inginkan pada server, seperti mencuri atau menghapus data yang bersifat sensitif.
Kenapa kelemahan ini baru ditemukan?
Kode yang membuat open source software itu bisa dilihat, dijalankan dan bahkan bisa diedit oleh setiap orang. Transparansi ini dapat membuat software itu lebih kuat dan aman, karena ada banyak pasang mata yang mengembangkannya. Tapi, tidak ada software yang bisa dipastikan 100 persen aman.
Kode yang membuka peluang serangan Log4Shell telah ada cukup lama, namun baru disadari pada bulan lalu oleh seorang peneliti keamanan siber di perusahaan komputerisasi di Cina, Alibaba Cloud. Peneliti itu segera melaporkannya ke Apache Software Foundation, organisasi nirlaba di Amerika yang mengawasi ratusan proyek open source termasuk Log4j, untuk memberinya kesempatan mengatasinya sebelum diungkap ke publik.
Lalu seperti apa status ancamannya saat ini?
Apache telah memberi prioritas ‘sangat penting’ terhadap kerentanan itu dan telah dengan cepat mengembangkan solusinya. Sekarang, ratusan ribu tim IT sedang mengikuti memperbarui Log4j ke versi 2.15.0. Para tim IT juga masih harus membersihkan kode mereka dari potensi kerentanan dan mengawasi upaya-upaya percobaan peretasan.
Perlu dicatat, solusi menambal keamanan mungkin bisa cepat didapat, tapi biasanya perlu waktu untuk semua orang mengaplikasikannya. Komputer dan layanan jaringan juga kini sangat kompleks, berlapis-lapis dengan tingkatan abstraksi, kode, yang membuatnya butuh bulanan untuk bisa memperbarui seluruh layanannya.
Dan selalu ada mereka yang tidak mau melakukan apa-apa. Juga perangkat keras yang sudah tertinggal, kode yang belum diperbarui, yang bisa dengan mudah dieksploitasi hacker.