Setelah Log4J, Gedung Putih khawatir tentang kelemahan open source besar berikutnya
Home & Office

Setelah Log4J, Gedung Putih khawatir tentang kelemahan open source besar berikutnya

Gedung Putih mengadakan pertemuan hari ini dengan Apache, Google, Apple, Amazon, dan organisasi teknologi besar lainnya untuk membahas keamanan perangkat lunak dan alat sumber terbuka setelah kerentanan Log4J yang telah menyebabkan gelombang kejut di seluruh dunia sejak ditemukan pada bulan Desember.

Penasihat Keamanan Nasional Gedung Putih Jake Sullivan meminta pertemuan pada bulan Desember, mencatat dalam sebuah surat kepada perusahaan bahwa itu adalah “masalah keamanan nasional” untuk perangkat lunak sumber terbuka dasar yang harus dipelihara oleh sukarelawan.

Pertemuan tersebut, yang dipimpin oleh pemimpin keamanan siber Gedung Putih Anne Neuberger, akan mencakup pejabat dari perusahaan seperti IBM, Microsoft Corp, Meta, Linux dan Oracle serta lembaga pemerintah seperti CISA, Departemen Perdagangan dan Departemen Pertahanan.

Chris Inglis, Direktur Siber Nasional, dikatakan pada hari Kamis bahwa situasi di sekitar Log4J “telah menyoroti kebutuhan untuk meningkatkan keamanan perangkat lunak kami dan transparansi rantai pasokan perangkat lunak kami.”

“Menikmati diskusi dengan Dewan Keamanan Nasional Gedung Putih dan manajer proyek open source terkemuka tentang bagaimana membawa koherensi ke upaya federal untuk meningkatkan ketahanan perangkat lunak,” kata Inglis.

Apache Software Foundation, yang mengelola Log4J dan dijalankan oleh sukarelawan, merilis sekumpulan dokumen menjelang pertemuan yang menjelaskan sikap mereka dan upaya mereka untuk menopang kerentanan. Beberapa dokumen menawarkan pertahanan diam-diam dari tanggapan organisasi terhadap krisis, menyebut Log4J “kombinasi yang tidak menguntungkan dari fitur yang dirancang secara independen dalam platform Java.”

Apache mencatat bahwa mereka memiliki beberapa ratus proyek sumber terbuka dan mengawasi 227 juta baris kode.

Selama konferensi pers minggu ini, direktur CISA Jen Easterly dan asisten direktur eksekutif CISA untuk keamanan siber Eric Goldstein mengatakan kepada wartawan bahwa mereka belum melihat “pelanggaran atau serangan tingkat tinggi” terkait dengan kerentanan Log4J di luar serangan terhadap Kementerian Pertahanan Belgia. .

“Saat ini, kami belum melihat penggunaan Log4Shell yang mengakibatkan gangguan yang signifikan. Ini mungkin terjadi karena musuh yang canggih telah menggunakan kerentanan ini untuk mengeksploitasi target dan hanya menunggu untuk memanfaatkan akses baru mereka sampai pembela jaringan berada pada tingkat yang lebih rendah. waspada. Semua orang ingat pelanggaran Equifax yang terungkap pada September 2017 adalah akibat dari kerentanan perangkat lunak sumber terbuka yang ditemukan pada Maret tahun itu,” kata Easterly.

“Mungkin juga sebagian karena tindakan mendesak yang diambil oleh para pembela HAM dan banyak organisasi untuk secara cepat mengurangi perangkat yang paling mudah dieksploitasi, seperti yang dapat diakses langsung dari internet,” tambah Easterly. “Kami berharap Log4Shell dapat digunakan dalam penyusupan di masa depan.”

Kemudian dalam percakapan, baik Easterly dan Goldstein berbicara panjang lebar tentang kekhawatiran yang lebih besar untuk apa proyek open source lainnya mungkin memiliki kerentanan dengan efek knock-on yang mengerikan seperti Log4J.

Easterly mengatakan bahwa sebagai hasil dari Log4J, CISA mempercepat upayanya untuk membuat “perangkat lunak bill of material” (SBOM) dan mencatat bahwa mereka baru-baru ini mempekerjakan Allan Friedman, yang sebelumnya memimpin upaya keamanan siber dan SBOM di Departemen Perdagangan. Friedman sekarang bekerja untuk mengkoordinasikan upaya SBOM di dalam dan di luar pemerintah AS.

Easterly dan Goldstein juga mengutip pertemuan Gedung Putih hari ini sebagai bagian dari upaya mereka untuk mengatasi masalah keamanan open source.

“Saya pikir kerentanan ini mencerminkan pekerjaan yang belum kami lakukan dan saya pikir pekerjaan itu akan fokus untuk memastikan bahwa organisasi memiliki visibilitas ke perpustakaan dan komponen di lingkungan mereka dan di tumpukan perangkat lunak mereka serta memastikan bahwa kami memiliki pemahaman komunitas. produk dan perpustakaan open source paling umum dan kritis yang digunakan di seluruh infrastruktur penting dan di seluruh pemerintahan,” kata Goldstein.

“Kami memprioritaskan bantuan dukungan dan transparansi kepada pengembang dan pengelola perpustakaan dan komponen khusus tersebut. Kami mengambil pendekatan yang diprioritaskan, mengakui keberadaan komponen ini di mana-mana dan bahwa mereka sekarang digunakan secara luas di seluruh lingkungan teknologi. Kerentanan ini akan menjadi katalisator lebih lanjut. perhatian, fokus dan investasi, yang akan terwujud dalam keamanan yang lebih baik.”

Goldstein mencatat bahwa meskipun mereka belum melihat serangan yang signifikan, telah terjadi pemindaian dan eksploitasi Log4Shell secara luas oleh penjahat dunia maya yang menggunakannya untuk menginstal perangkat lunak cryptomining di komputer korban atau untuk menangkap komputer korban untuk digunakan di botnet.

Steve Povolny, kepala penelitian ancaman lanjutan untuk McAfee Enterprise, mengatakan kepada ZDNet bahwa sudah ada tiga iterasi berbeda dari kerentanan Log4J, yang memicu kekhawatiran tentang masalah yang lebih luas dengan alat serupa. Meskipun dia tidak mengharapkan iterasi lagi dari kerentanan Log4J, dia merujuk penelitian terbaru tentang masalah JNDI sebagai contoh bagaimana kekhawatiran yang meluas tentang Log4J menyebabkan masalah lain ditemukan.

“Apa yang Anda lihat di sini adalah pola 20 tahun yang lalu yang saya sebut pengejaran ambulans dan sebenarnya ini adalah cara yang sangat efektif untuk menyingkirkan kerentanan serupa. Ini sering terjadi dengan kerentanan kritis utama, di mana seseorang menerbitkan kode eksploitasi dan tiba-tiba, industri riset menemukan target minat baru karena seksi dan topikal,” katanya.

“Tetapi ternyata ini adalah cara yang bagus untuk menghilangkan jenis kerentanan yang serupa baik dalam proyek dan produk yang sama atau secara tangensial serupa. Anda memiliki banyak perhatian pada komponen seperti JNDI dan kerangka kerja Apache yang melakukan logging.”


Posted By : result hk