FBI Sebut Hacker Iran Coba Eksploitasi Bug Kritis Perangkat BIG-IP Buatan F5 Network

Cyberthreat.id – Biro Investigasi Federal (FBI) Amerika Serikat mengeluarkan peringatan serangan siber yang mengeksploitasi kerentanan produk F5 Network, perusahaan spesialisasi aplikasi keamanan dan jaringan.

FBI menuding ada upaya eksploitasi yang dilakukan oleh peretas Iran ditujukan ke produk BIG-IP buatan F5 Network, demikian seperti dikutip dari BleepingComputer, diakses Senin (10 Agustus 2020).

BIG-IP merupakan perangkat jaringan serbaguna, dapat berfungsi sebagai sistem pembentukan lalu lintas web, penyeimbang beban (load ballancers), firewall, akses gateway, pembatas tarif, atau middleware SSL.

BIG-IP ini produk jaringan paling banyak digunakan saat ini, yaitu di jaringan 48 perusahaan yang masuk dalam daftar Fortune 50, menurut situs web F5 Network.

Menurut FBI, peretas berupaya mengeksploitasi kelemahan eksekusi kode jarak jauh yang terautentikasi dan mempengaruhi perangkat pengontrol pengiriman aplikasi (Application Delivery Controller /ADC) BIG-IP.

Kerentanan yang dicoba eksploitasi itu termasuk sangat berbahaya dengan skor bug CVSS 10/10.

Pada 3 Juli lalu, F5 Networks merilis pembaruan keamanan untuk memperbaiki kerentanan yang diidentifikasi sebagai CVE-2020-5902.

Dalam Pemberitahuan Industri Swasta (PIN) awal pekan lalu, FBI mengatakan, sejak awal Juli 2020 kelompok peretasan yang disponsori Iran telah mencoba untuk menyusupi perangkat BIG-IP ADC yang rentan.

Dengan kerentanan itu penyerang dapat mengakses komponen antarmuka manajemen BIG-IP — dikenal sebagai TMUI (Traffic Management User Interface). Artinya, jika penyerang mengeksploitasi ini, penyerang tidak memerlukan kredensial valid untuk melakukan serangann; penyerang dapat melakukan eksekusi dari jarak jauh untuk mengontrol penuh perangkat BIG-IP.

FBI mengklaim bahwa selain membahayakan jaringan, peretas juga dapat mengumpulkan dan mencuri informasi sensitif yang dapat diberikan ke peretas lain atau ke pemerintah Iran.

Bahkan, menurut FBI, itu dapat mengarah ke penyebaran ransomware pada jaringan yang disusupi dan hasil kredensial curian dapat dimanfaatkan untuk mendapatkan akses ke perangkat jaringan lain.

Jika organisasi atau industri merasa terdampak atau sudah disusupi oleh penyerang, kata FBI, menambal perangkat tidak cukup untuk menolak akses peretas ke perangkat yang sebelumnya diretas karena mereka menggunakan kerangka web untuk membuat backdoor (pintu belakang) dan kredensial yang dicuri untuk mendapatkan kembali akses.

Untuk itu, menurut F5 Network, perangkat apa pun yang belum ditambal dan mungkin sudah disusupi, admin TI disarankan untuk menggunakan alat deteksi IoC CVE-2020-5902 F5 untuk memindai IoC di lingkungan perusahaan

Sementara itu, Badan Keamanan Siber dan Infrastruktur (CISA) juga mengeluarkan kerentanan serupa soal BIG-IP milik F5.

CISA merekomendasikan semua organisasi untuk melalui langkah-langkah sambil mencari tanda-tanda adanya eksploitasi terhadap CVE-2020-5902:

• Karantina atau nonaktifkan sistem yang berpotensi terpengaruh
• Kumpulkan dan tinjau artefak seperti proses/layanan yang berjalan, otentikasi yang tidak biasa, dan koneksi jaringan terkini
• Menerapkan tanda tangan Snort yang dibuat CISA untuk mendeteksi aktivitas berbahaya.

Jika bukti eksploitasi CVE-2020-5902 ditemukan, perusahaan diminta untuk segera merespon dengan tindakan pemulihan yang menargetkan semua perangkat yang terkena dampak dengan:

• Instal ulang perangkat yang diretas
• Kredensial akun baru
• Membatasi akses ke antarmuka manajemen semaksimal mungkin
• Menerapkan segmentasi jaringan.[]

Redaktur: Andi Nugroho