Bug Berbahaya "Log4Shell" Ancam Jutaan Server dan Aplikasi di Seluruh Dunia

KOMPAS.com - Celah keamanan (bug) berbahaya bernama "Log4Shell", dengan kode CVE-2021-44228, belakangan diidentifikasi oleh para pakar keamanan siber. Bug ini berpotensi membuat banyak pihak resah.

Pasalnya, bug ini bisa dieksploitasi dengan mudah oleh para pihak yang tidak bertanggung jawab, salah satunya seperti peretas (hacker) untuk membobol sebuah server atau aplikasi hanya dengan menggunakan sejumlah kode saja.

Jika sudah dibobol, maka hacker otomatis bisa melakukan apa saja, termasuk mencuri beragam data pengguna dan menanamkan aneka program berbahaya (malware) yang bisa menghadirkan dampak buruk lainnya. Lantas, apa sebenarnya Log4Shell?

Baca juga: Ada Bug, Game di Android 12 Mendadak Crash

Mirip seperti namanya, celah keamanan ini ditemukan di dalam software pencatat riwayat kegiatan aplikasi atau platform (logging utility) berbasis open source, alias gratis milik Apache Software Foundation yang dijuluki "Log4J".

Kehadiran software Log4J sendiri berguna untuk mengetahui dan menelusuri suatu kerusakan (error) pada sebuah server atau aplikasi.

Kerusakan itu bisa dilihat berdasarkan riwayat operasional atau jalannya aplikasi atau server tersebut. Ketika ada malfungsi, misalnya, maka Log4J bakal mencatat kejadian tersebut, sehingga bisa dijadikan referensi untuk perbaikan di masa depan. 

Menurut sejumlah peneliti keamanan, software Log4J sendiri banyak digunakan oleh beragam server atau aplikasi yang terhubung dengan internet, salah satunya adalah Minecraft, game yang pertama kali mengumumkan ada celah keamanan Log4Shell.

Baca juga: Malware Joker Kembali, Segera Hapus 15 Aplikasi Android Ini

Di game tersebut, peretas bisa mengirimkan sejumlah kode berbahaya dengan mudah hanya melalui fitur chatting untuk menyerang komputer target.

Karena esensi Log4J bakal mencatat seluruh percakapan atau aktivitas di suatu server atau aplikasi, maka kode yang dikirimkan peretas itu juga akan ikut terekam, sehingga para peretas bisa masuk ke dalam server dan membobolnya.

Metode serupa juga bisa dilakukan hacker di beragam aplikasi atau server lainnya yang mengandalkan Log4J.

iCloud dan Steam terdampak

shutterstock ilustrasi hacker

Selain Minecraft, peneliti keamanan dari malwaretech.com, Marcus Hutchins mengklaim bahwa banyak server dan aplikasi yang mengandalkan Log4J, termasuk server iCloud dan platorm distribusi game populer Steam.

Baca juga: Awas, Malware Joker Pencuri Data Ditemukan di Aplikasi Squid Game

"Secara keseluruhan, ada jutaan aplikasi yang menggunakan Log4J untuk kepentingan logging, dan yang peretas butuhkan hanya beberapa kode unik untuk memanfaatkan celah keamanan Log4Shell," ujar Marcus dalam sebuah unggahan Twitter dengan handle @MalwareTechBlog.

This log4j (CVE-2021-44228) vulnerability is extremely bad. Millions of applications use Log4j for logging, and all the attacker needs to do is get the app to log a special string. So far iCloud, Steam, and Minecraft have all been confirmed vulnerable.

— Marcus Hutchins (@MalwareTechBlog) December 10, 2021

Karena banyak yang terdampak dan efeknya tergolong cukup berbahaya, beberapa peneliti keamanan pun menganggap Log4Shell ini merupakan celah keamanan terburuk selama beberapa tahun terakhir. 

"Log4Shell merupakan celah keamanan yang sangat berbahaya selama satu dekade terakhir," kata seorang peneliti dari firma keamanan siber Tenable.