Melihat Bug Kritis di Schneider Electric Triconex TriStation dan TCM
Ilustrasi | Foto: Cyware Hacker News
Cyberthreat.id - Sejumlah upaya serangan siber yang sedang berlangsung menargetkan infrastruktur kritis serta mengeksploitasi jaringan IT dan Teknologi Operasional (OT) yang diakses internet di seluruh Amerika Serikat (AS).
Baru-baru ini, Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) AS menerbitkan peringatan tentang kerentanan kritis dalam Schneider Electric Triconex TriStation dan Tricon Communication Module (TCM).
Triconex adalah nama merek Schneider Electric yang memasok produk, sistem, dan layanan untuk aplikasi keselamatan, kontrol kritis, dan turbomachinery serta nama perangkat kerasnya yang menggunakan perangkat lunak aplikasi TriStation.
Produk Triconex didasarkan pada teknologi pengaman industri Triple modular redundancy (TMR) yang dipatenkan. Saat ini, produk Triconex TMR beroperasi secara global di lebih dari 11.500 instalasi, menjadikan Triconex pemasok TMR terbesar di dunia.
Peringatan ICS-CERT
Dalam peringatannya, ICS-CERT menjelaskan bagaimana penjahat cyber menjadi lebih fokus pada penargetan Sistem Kontrol Industri (ICS) menggunakan jaringan IT untuk terhubung ke sisi OT.
Kerentanan dalam sistem Tricon dan TriStation Triconex dapat dieksploitasi hacker untuk melihat data teks yang sangat jelas di jaringan, menyebabkan kondisi penolakan layanan (denial of service), atau memungkinkan akses yang tidak tepat (improper access).
Kerentanan ini memengaruhi versi lama Model Modul Komunikasi Tricon 4351, 4352, 4351A/B, dan 4352A/B yang di-instal di sistem Tricon v10.0 hingga v10.5.3.
Termasuk mempengaruhi TriStation 1131, v1.0.0 hingga v4.9.0, v4.10.0, dan 4.12.0, yang beroperasi pada Windows NT, Windows XP atau Windows7.
"Serangan ICS ini mampu menghentikan operasional lengkap pembangkit listrik, pabrik, kilang minyak dan gas, dan banyak lagi," tulis Cyware Hacker News, Sabtu (8 Agustus 2020).
Peringatan ICS-CERT juga mengimbau organisasi/perusahaan melindungi diri dari taktik serangan canggih "living-off-the-land" seperti memodifikasi pengontrol sistem SIS, yang sebelumnya pernah digunakan dalam serangan TRITON.
Malware TRITON - kemungkinan dibuat oleh grup XENOTIME APT - pertama kali diamati pada Maret 2017 saat perangkat lunak ini menargetkan Triconex SIS Schneider Electric di Timur Tengah.
Pada Mei 2018, malware ini memperluas serangan cyber industri pada organisasi/perusahaan lain di seluruh dunia.
Setelah kejadian ini, XENOTIME mulai menyerang perusahaan utilitas listrik di AS dan Asia-Pasifik sepanjang tahun 2019. Sejumlah insiden berhasil membahayakan beberapa vendor ICS, yang memungkinkan terjadinya serangan rantai pasokan (supply chain attack).
ICS-CERT menyimpulkan bahwa aktivitas menambal (patch) dan mengurangi ancaman di lanskap OT, sipil maupun militer, sangat penting karena faktor sensitivitas lingkungannya.
Organisasi, perusahaan, dan lembaga disarankan untuk melakukan analisis dampak dan penilaian risiko (risk assessment) yang tepat sebelum melanjutkan dengan tindakan pencegahan yang direkomendasikan. []
