Peretas Membobol Jaringan Organisasi Melalui Kerentanan di Server Web
illustrasi
Cyberthreat.id – Peneliti keamanan dari Microsoft mengungkapkan bahwa para peretas memanfaatkan kerentanan pada web server yang sudah dinonaktifkan sejak 2005 untuk menargetkan organisasi di sektor energi.
Seperti yang diungkapkan oleh perusahaan keamanan siber Recorded Future, kelompok peretas China yang didukung negara salah satunya RedEcho menargetkan beberapa operator jaringan listrik India, membahayakan sistem tanggap darurat nasional India dan anak perusahaan dari perusahaan logistik multinasional.
Dikutip dari Bleeping Compyuter, penyerang memperoleh akses ke jaringan internal entitas yang diretas melalui kamera yang terpapar Internet di jaringan mereka sebagai server perintah dan kontrol. Selain penargetan aset jaringan listrik, kami juga mengidentifikasi kompromi sistem tanggap darurat nasional dan anak perusahaan India dari perusahaan logistik multinasional oleh kelompok aktivitas ancaman yang sama.
“Untuk mencapai hal ini, grup tersebut kemungkinan mengkompromikan dan mengkooptasi perangkat kamera DVR/IP yang terhubung ke internet untuk perintah dan kontrol (C2) dari infeksi malware Shadowpad, serta penggunaan alat open source FastReverseProxy,” kata Recorded Future.
Sementara Recorded Future tidak memperluas vektor serangan, Microsoft mengatakan hari ini bahwa penyerang mengeksploitasi komponen yang rentan di server web Boa, solusi perangkat lunak yang dihentikan sejak 2015 yang masih digunakan oleh perangkat IoT (dari router hingga kamera).
Boa menjadi salah satu komponen yang digunakan untuk masuk dan mengakses konsol manajemen perangkat IoT, secara signifikan meningkatkan risiko infrastruktur penting dilanggar melalui perangkat yang rentan dan terpapar Internet yang menjalankan server web yang rentan. Tim Intelijen Ancaman Keamanan Microsoft mengatakan hari ini bahwa server Boa menyebar di seluruh perangkat IoT terutama karena penyertaan server web dalam kit pengembangan perangkat lunak (SDK) populer.
Menurut data platform Microsoft Defender Threat Intelligence, lebih dari 1 juta komponen server Boa yang terpapar internet terdeteksi online di seluruh dunia dalam satu minggu. Server Boa dipengaruhi oleh beberapa kerentanan yang diketahui, termasuk akses file sewenang-wenang (CVE-2017-9833) dan pengungkapan informasi (CVE-2021-33558).
Penyerang juga dapat mengeksploitasi kelemahan keamanan ini tanpa memerlukan otentikasi untuk mengeksekusi kode dari jarak jauh setelah mencuri kredensial dengan mengakses file dengan informasi sensitif di server yang ditargetkan.
“Microsoft terus melihat penyerang mencoba mengeksploitasi kerentanan Boa di luar jangka waktu laporan yang dirilis, menunjukkan bahwa itu masih ditargetkan sebagai vektor serangan,” kata Microsoft.
Dalam salah satu serangan terbaru yang menyalahgunakan kerentanan ini yang diamati oleh Microsoft, ransomware Hive meretas perusahaan listrik terintegrasi terbesar di India, Tata Power, bulan lalu.
Tata Power mengungkapkan serangan dunia maya pada "infrastruktur TI yang berdampak pada beberapa sistem TI" dalam pengajuan stok pada 14 Oktober tanpa membagikan detail tambahan mengenai pelaku ancaman di balik insiden tersebut. Geng ransomware Hive kemudian memposting data yang mereka klaim telah dicuri dari jaringan Tata Power, menunjukkan bahwa negosiasi tebusan gagal.
