Bug Berbahaya "Log4Shell" Ancam Jutaan Server dan Aplikasi di Seluruh Dunia

KOMPAS.com - Celah keamanan (bug) berbahaya bernama "Log4Shell", dengan kode CVE-2021-44228, belakangan diidentifikasi oleh para pakar keamanan siber. Bug ini berpotensi membuat banyak pihak resah.

Pasalnya, bug ini bisa dieksploitasi dengan mudah oleh para pihak yang tidak bertanggung jawab, salah satunya seperti peretas (hacker) untuk membobol sebuah server atau aplikasi hanya dengan menggunakan sejumlah kode saja.

Jika sudah dibobol, maka hacker otomatis bisa melakukan apa saja, termasuk mencuri beragam data pengguna dan menanamkan aneka program berbahaya (malware) yang bisa menghadirkan dampak buruk lainnya. Lantas, apa sebenarnya Log4Shell?

Baca juga: Ada Bug, Game di Android 12 Mendadak Crash

Mirip seperti namanya, celah keamanan ini ditemukan di dalam software pencatat riwayat kegiatan aplikasi atau platform (logging utility) berbasis open source, alias gratis milik Apache Software Foundation yang dijuluki "Log4J".

Kehadiran software Log4J sendiri berguna untuk mengetahui dan menelusuri suatu kerusakan (error) pada sebuah server atau aplikasi.

Kerusakan itu bisa dilihat berdasarkan riwayat operasional atau jalannya aplikasi atau server tersebut. Ketika ada malfungsi, misalnya, maka Log4J bakal mencatat kejadian tersebut, sehingga bisa dijadikan referensi untuk perbaikan di masa depan. 

Menurut sejumlah peneliti keamanan, software Log4J sendiri banyak digunakan oleh beragam server atau aplikasi yang terhubung dengan internet, salah satunya adalah Minecraft, game yang pertama kali mengumumkan ada celah keamanan Log4Shell.

Baca juga: Malware Joker Kembali, Segera Hapus 15 Aplikasi Android Ini

Di game tersebut, peretas bisa mengirimkan sejumlah kode berbahaya dengan mudah hanya melalui fitur chatting untuk menyerang komputer target.

Karena esensi Log4J bakal mencatat seluruh percakapan atau aktivitas di suatu server atau aplikasi, maka kode yang dikirimkan peretas itu juga akan ikut terekam, sehingga para peretas bisa masuk ke dalam server dan membobolnya.

Metode serupa juga bisa dilakukan hacker di beragam aplikasi atau server lainnya yang mengandalkan Log4J.

iCloud dan Steam terdampak

shutterstock ilustrasi hacker

Selain Minecraft, peneliti keamanan dari malwaretech.com, Marcus Hutchins mengklaim bahwa banyak server dan aplikasi yang mengandalkan Log4J, termasuk server iCloud dan platorm distribusi game populer Steam.

Baca juga: Awas, Malware Joker Pencuri Data Ditemukan di Aplikasi Squid Game

"Secara keseluruhan, ada jutaan aplikasi yang menggunakan Log4J untuk kepentingan logging, dan yang peretas butuhkan hanya beberapa kode unik untuk memanfaatkan celah keamanan Log4Shell," ujar Marcus dalam sebuah unggahan Twitter dengan handle @MalwareTechBlog.

This log4j (CVE-2021-44228) vulnerability is extremely bad. Millions of applications use Log4j for logging, and all the attacker needs to do is get the app to log a special string. So far iCloud, Steam, and Minecraft have all been confirmed vulnerable.

— Marcus Hutchins (@MalwareTechBlog) December 10, 2021

Karena banyak yang terdampak dan efeknya tergolong cukup berbahaya, beberapa peneliti keamanan pun menganggap Log4Shell ini merupakan celah keamanan terburuk selama beberapa tahun terakhir. 

"Log4Shell merupakan celah keamanan yang sangat berbahaya selama satu dekade terakhir," kata seorang peneliti dari firma keamanan siber Tenable.

Saking bahayanya, penyedia Log4, yaitu Apache Software Foundation memberikan nilai 10, alias nilai tertinggi dari skala 0-10 untuk dampak keamanan yang bisa ditimbulkan Log4Shell.

Baca juga: Uang yang Diberikan Google untuk Penemu Bug Pecahkan Rekor

Sebagaimana dirangkum KompasTekno dari TheVerge, Senin (13/12/2021), pihak Apache Software Foundation sendiri sudah menghadirkan pembaruan terhadap software logging  tersebut, dua minggu setelah kasus pertama dilaporkan pada 24 November lalu.

Meski demikian, karena Log4J digunakan dan mungkin dimodifikasi oleh banyak server dan aplikasi, penambalan (patch) bug Log4Shell ini harus diterapkan secara mandiri oleh pihak yang menggunakan Log4J.

Beberapa aplikasi yang menggunakan Log4J, termasuk Minecraft sudah menggelontorkan pembaruan. Namun, konon masih banyak penyedia aplikasi yang terhubung dengan internet yang belum menerapkan perbaikan.

Belum diketahui apa dampak langsung yang ditimbulkan bug Log4Shell ini terhadap pengguna, begitu juga perusahaan internet yang fokus pada pengguna itu sendiri.

Sebab, efek dan kerusakaan yang diakibatkan oleh bug tersebut saat ini belum diumumkan oleh para peneliti keamanan dan pihak terkait lainnya. Kita nantikan saja.