BSSN Deteksi 284 Komputer Server Terpengaruh Kerentanan Microsoft Exchange Server
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) mendeteksi ada 284 host di Indonesia yang berpotensi terpengaruh kerentanan pada perangkat lunak layanan email, Microsoft Exchange Server.
Plt Kepala Pusat Operasi Keamanan Siber Nasional (Pusopkamsinas) BSSN, Adi Nugroho mengatakan 284 host atau semacam komputer server itu terpusat di Jakarta, Tangerang, dan Bekasi. Namun, ada juga di luar tiga wilayah itu, salah satunya di Surabaya.
Dari sebaran sektornya, Adi mengatakan kebanyakan terbungkus oleh alamat protokol internet (IP address) milik penyedia jasa internet (ISP). Namun, sejauh ini pihaknya baru bisa memverifikasi pemilik alamat IP tersebut di tingkat ISP.
Adi mengatakan, bank data mengenai pemilik alamat IP yang dimiliki oleh BSSN saat in belum menyeluruh, sehingga belum bisa mengecek alamat IP tersebut masuk dalam kategori apa. Oleh karenanya, dalam temuan terkait kerentanan Exchange Server, BSSN hanya memasukkan kategori alamat IP sebagai IP dari ISP.
Berita Terkait:
- Yang Perlu Diketahui tentang Peretasan Massal Exchange Server
- Microsoft Defender Kini Bisa Memitigasi Otomatis Kerentanan Exchange Server
Dari 284 host tersebut, menurut Adi, ada 78 host yang berpotensi tinggi langsung terdampak ke kerentanan Microsoft Exchange Server. Paling banyak berasal dari domain .co.id, di mana sebagian besar digunakan oleh perusahaan swasta.
Sementara, dari sisi pemerintahan, Adi mengatakan tidak banyak yang terdampak yakni hanya sekitar 6 entitas. Itu pun, lanjutnya, berupa unit kerja, bukan instansi; sehingga enam entitas ini bisa dalam satu instansi. Keenam entitas ini pun berada di pemerintah pusat bukan di daerah.
Selain itu, pengguna Exchange Server yang rentan tersebar di sektor finansial, industri, perkapalan, serta universitas.
Saat ditanya apakah BSSN mengetahui host mana yang sudah terdampak, Adi menyatakan bahwa BSSN belum mengetahuinya dan berharap Microsoft Exchange Server yang digunakan oleh 284 host itu belum terdampak.
"Kami tidak bisa pastikan mereka terdampak. Karena, pertama dari sisi PoC si exploit-nya ini juga baru. Jadi, mudah-mudahan masih belum kena," tutur Adi kepada Cyberthreat.id, Jumat (19 Maret 2021).
Baca:
- Ada 10 Geng Hacker Berupaya Eksploitasi Kerentanan Exchange Server
- Geng Ransomware DearCry Eksploitasi Kerentanan Exchange Server
- Exchange Server: Pembaruan Kumulatif Triwulanan Dirilis, Segera Instal!
Adi mengatakan pihaknya telah mengirimkan notifikasi kepada entitas yang sekiranya kemungkinan terdampak pada kerentanan Microsoft Exchange Server ini.
Sayangnya, ia enggan membeberkan nama-nama entitas tersebut. Lembaganya dalam kasus ini menerapkan dua metode untuk mendeteksi kerentanan. Pertama, berkomunikasi dengan Computer Security Incident Response Team (CSIRT) pada forum yang diikuti oleh IDSIRTII-CC/Pusopkamsinas dan kedua, Tim Pusopkamsinas melakukan hunting melalui berbagai sumber informasi yang ada atau semacam information gathering menggunakan sumber terbuka (OSINT).
Pada 2 Maret lalu, Microsoft memperingatkan tentang eksploitasi aktif atas empat kerentanan di Exchange Server oleh kelompok peretas China bernama “Hafnium”.
Microsoft pun mendesak pelanggan untuk memperbarui Exchange Server secepat mungkin karena kerentanan masuk kategori kritis.
Kerentanan tersebut mempengaruhi Exchange Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh.
Berikut informasi empat kerentanan yang dimaksud Microsoft:
- CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
- CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi Hafnium kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
- CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
- CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika Hafnium dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.[]
Redaktur: Andi Nugroho
