Analisis CyberArk: Jangan Merasa Aman dengan Otentikasi Multi-Faktor

Cyberthreat.id – Perusahaan manajemen identitas dan akses asal Amerika Serikat, CyberArk, baru-baru ini mengeluarkan analisis terkait otentikasi multi-faktor (MFA).

Setidaknya ada empat cara penyerang, termasuk red team dari perusahaan itu, untuk mencoba melewati MFA atau setidaknya melemahkan fungsinya.

Sekadar diketahui, peretasan perangkat lunak Orion SolarWinds juga berawal dari mencuri kunci privat infrastruktur sistem masuk tunggal (single sign-on/SSO) perusahaan, selanjutnya penyerang memanfaatkan kunci itu untuk melewati MFA.

Dalam risetnya, tim CyberArk membuat permodelan dan memastikan infrastruktur MFA perusahaan tak memiliki kelemahan yang sama.

“Selama setahun terakhir, kami melihat lonjakan perusahaan yang menerapkan MFA sebagai bagian dari kontrol keamanan, tapi kami juga mendapati beberapa serangan berbasis MFA selama aktivitas pasca serangan terhadap klien kami,” ujar Wakil Presiden Layanan Red Team CyberArk, Shay Nahari, dikutip dari DarkReading, diakses Kamis (17 Juni 2021).

Menurut CyberArk, perusahaan yang menggunakan MFA bersama dengan portal SSO bisa jadi memiliki kekurangan desain arsitektur.

Dalam sebuah kasus, setelah pengguna diotentikasi di tingkat infrastruktur, mereka tidak diverifikasi lagi dengan MFA saat mengakses aset penting. Kelemahan tersebut memungkinkan sebuah mesin atau pekerja level bawah diretas dan dijadikan pijakan ke seluruh jaringan.

Ada pula perusahaan yang menciptakan kelemahan saat memasukkan pengguna baru. Biasanya sebuah email berisi tautan dikirimkan ke pengguna dan diminta membukanya lewat ponsel dengan sistem MFA perusahaan. Sayangnya, token MFA yang dihasilkan hanya dilindungi dengan kode enam digit. Dan, kode ini bisa dicuri penyerang jika berhasil mendapatkan akses ke email pengguna, lalu mereplikasi token MFA karyawan.

Skema lain, ada perusahaan yang menerapkan MFA untuk akses desktop jarak jauh ke server, tapi tidak untuk port atau aplikasi lain di server itu. Imbasnya, hal tersebut membuka mesin hingga peretasan kredensial di saluran lain dan memberi akses penyerang ke seluruh mesin.

Oleh karenanya, CyberArk menyarankan agar perusahaan mengaudit seluruh infrastruktur yang menerapkan MFA, identifikasi cara-cara yang kemungkinan bisa dilewati peretas. “Perlu merancang permodelan ancaman siber demi memahami cara penyerang menerobos MFA,” kata Nahari.

“Seharusnya MFA tidak menjadi satu-satunya yang utama, tapi hanya bagian dari pendekatan (keamanan) yang lebih besar. Setiap serangan yang kami tunjukkan tidak menyerang MFA, tapi menemukan celah bagaimana menerobos cara penerapan MFA,” Nahari menambahkan.[]