Hacker Eksploitasi Kerentanan Zero-day di Registri Verisign

Cyberthreat.id - Hacker sedang mengeksploitasi kerentanan Zero-day dan sejumlah layanan Software-as-a-Service (SaaS) di penyedia registri Verisign. Hacker melakukannya dengan cara mendaftarkan Malware mencurigakan (malicious) di top level domain dan sub-domain yang terlihat sama dengan situs aslinya memanfaatkan celah di karakter homograf. 

Layanan SaaS yang terkena dampak termasuk Google, Amazon, dan DigitalOcean. Tujuan di balik eksploitasi ini adalah untuk meluncurkan serangan phishing terhadap organisasi/perusahaan.

Laporan ini dipaparkan Matt Hamilton, seorang peneliti cybersecurity di Soluble. Ia menyatakan kerentanan ini mirip dengan serangan Homograf IDN yang semua risikonya hampir sama.

Hamilton mengatakan kerentanan ini membuat penyerang dapat mendaftarkan domain atau sub-domain yang tampak identik secara visual dengan situs aslinya. Tujuannya untuk melakukan serangan rekayasa sosial (social engineering) atau serangan orang dalam (insider attack) terhadap suatu organisasi/perusahaan.

Hacker diketahui mulai menyalahgunakan cacat ini pada tahun 2017. Hamilton percaya kerentanan ini terus disalahgunakan selama tiga tahun terakhir.

Antara 2017 dan 2019, peneliti menemukan lebih dari selusin domain homograf yang memiliki sertifikat HTTPS aktif. Website aspal (asli tapi palsu) yang banyak ditiru seperti situs milik lembaga keuangan terkemuka, e-Commerce, perusahaan teknologi, dan situs Fortune 100 lainnya.

Setelah mengidentifikasi penyalahgunaan homograf yang terjadi saat ini kemudian mengkaji secara historis, masalah ini diklasifikasi kembali sebagai Zero-day.

Zero-day attack merupakan serangan cyber yang terjadi pada hari yang sama saat kelemahan atau kerentanan ditemukan di dalam sistem perangkat lunak. Hacker yang mengetahuinya kemudian akan mengeksploitasi kerentanan sebelum diperbaiki oleh pihak developer.

Verisign memperbaiki masalah

Verisign merupakan registri resmi untuk .com, .net, .edu, dan beberapa top level domain generik lainnya (gTLD). Di situsnya, Verisign menyebut dirinya sebagai penyedia global layanan pendaftaran nama domain dan infrastruktur internet, memungkinkan navigasi internet untuk banyak nama domain yang paling dikenal di dunia dan digunakan oleh sebagian besar e-commerce global.

Verisign menyatakan telah memperbaiki kelemahannya dan sekarang membatasi pendaftaran domain menggunakan karakter homograf. Selain itu, Versign juga telah mengubah aturan pendaftaran nama domain dengan memperbarui tabel karakter yang diizinkan di domain yang baru terdaftar.

Soluble bersama kemitraan strategis dengan Bishop Fox telah melaporkan kerentanan terhadap vendor layanan SaaS ini. Tetapi patch (tambalan) untuk kerentanan belum dirilis oleh vendor.