REPUBLIKA.CO.ID, BOSTON– Pakar keamanan di seluruh dunia pada Jumat (10/12), berlomba untuk menambal salah satu kerentanan komputer terburuk yang ditemukan selama bertahun-tahun. Kerentanan komputer ini adalah sebuah kelemahan kritis dalam kode sumber terbuka yang banyak digunakan di seluruh industri dan pemerintah dalam layanan cloud dan perangkat lunak perusahaan.
“Saya akan kesulitan memikirkan perusahaan yang tidak berisiko,” kata Koe Sullivan, kepala petugas keamanan Cloudflare, yang infrastruktur onlinenya melindungi situs web dari pelaku kejahatan, dilansir dari Japan Today, Ahad (12/12).
Tak terhitung jutaan server telah menginstalnya. Tim tanggap darurat komputer Selandia Baru adalah salah satu yang pertama melaporkan bahwa kelemahan dalam utilitas Java language untuk server Apache yang digunakan untuk mencatat aktivitas pengguna sedang “dieksploitasi secara aktif di alam liar” hanya beberapa jam setelah dilaporkan kepada publik pada Kamis (9/12) dan patch dirilis.
Kerentanan, dijuluki Log4Shell,’ diberi peringkat 10 pada skala satu hingga 10. Artinya, kemungkinan terburuk. Siapapun yang memiliki eksploitasi bisa mendapatkan akses penuh ke mesin yang belum ditambal.
“Orang-orang berebut untuk menambal dan ada script kiddies (peretas junior) dan semua jenis orang berebut untuk mengeksploitasinya,” kata Adam Meyers, wakil presiden intelijen di perusahaan keamanan siber Crowdstrike.
Kerentanan dalam modul Apache Software Foundation ditemukan 24 November oleh raksasa teknologi China Alibaba. Meyers mengharapkan tim tanggap darurat komputer memiliki akhir pekan yang sibuk mencoba mengidentifikasi semua mesin yang terkena dampak. Perburuan diperumit oleh fakta bahwa perangkat lunak yang terpengaruh dapat berada dalam program yang disediakan oleh pihak ketiga.
Eksploitasi kelemahan ini tampaknya pertama kali ditemukan di Minecraft, gim online yang sangat populer di kalangan anak-anak dan dimiliki oleh Microsoft. Meyers dan pakar keamanan Marcus Hutchins mengatakan pengguna Minecraft telah menggunakannya untuk menjalankan program di komputer pengguna lain dengan menempelkan pesan singkat di kotak obrolan.
Microsoft mengatakan telah mengeluarkan pembaruan perangkat lunak untuk pengguna Minecraft dan pelanggan yang menerapkan perbaikan dilindungi.
Para peneliti melaporkan menemukan bukti kerentanan dapat dieksploitasi di server yang dijalankan oleh perusahaan termasuk Apple, Amazon, Twitter, dan Cloudflare. Sullivan Cloudflare mengatakan tidak ada indikasi bahwa server perusahaannya telah disusupi. Apple, Amazon, dan Twitter belum menanggapi permintaan komentar.