Ditemukan Bug Kritis di CodeMeter Wibu-System, Segera Update Versi Terbaru!
Ilustrasi | Foto: wibu.com
Cyberthreat.id – Claroty, perusahaan keamanan siber asal New York, AS menemukan enam kerentanan kritis pada sistem kontrol CodeMeter buatan Wibu-System, perusahaan perangkat lunak terkemuka asal Jerman.
“Kerentanan secara kolektif memperoleh nilai kritid tertinggi sebesar 10.0 dan dapat dimanfaatkan dalam serangan Distributed Denial of Service (DDoS) atau melalui eksekusi kode jarak jauh,” demikian Claroty dalam keterangan pers yang diterima Cyberthreat.id, Rabu (9 September 2020).
“Jika penyerang dapat memecahkan perlindungan ini, mereka dapat memperoleh akses ke perangkat industri yang menjalankan perangkat lunak ini dan mempengaruhi ketersediaan atau integritas,” tulis Claroty.
CodeMeter selama ini dikenal sebagai alat all-in-one yang dipakai penerbit perangkat lunak dan produsen perangkat cerdas untuk sistem kontrol industri (ICS), terutama perlindungan manajemen hak digital (digital rights management/DRM).
CodeMeter sering digunakan dalam aplikasi industri kritis, seperti farmasi, otomotif, manufaktur, dan lainnya. CodeMeter tertanam dalam perangkat lunak yang disediakan oleh banyak perusahaan sistem ICS terkemuka.
CodeMeter memberikan solusi bagi perusahaan untuk melindungi dari pembajakan/rekayasa balik, keamanan lisensi, dan mengamankan pengguna dari gangguan serangan pihak ketiga.
“Setiap perangkat ICS atau aplikasi perangkat lunak yang dilindungi oleh CodeMeter yang memiliki kerentanan berisiko dimatikan perangkat atau prosesnya, infeksi malware termasuk ransomware, atau eksploitasi yang dikirimkan untuk kerentanan tambahan,” tulis Claroty.
Menurut Claroty, terdapat kelemahan yang signifikan diidentifikasi dalam skema enkripsi CodeMeter.
Padahal, enkripsi inilah fitur inti dari produk unggulan Wibu-Systems dan digunakan untuk melindungi dari gangguan siber, rekayasa balik, pembajakan, dan lainnya.
“Kerentanan dalam skema lisensi CodeMeter dapat digunakan untuk melewati tanda tangan digital yang melindungi produk dan memungkinkan penyerang untuk mengubah lisensi yang ada, atau memalsukan lisensi yang valid,” tulis Claroty.
“Lisensi palsu ini dapat disuntikkan dari jarak jauh melalui JavaScript yang dihosting di situs web yang dikendalikan penyerang.”
“Korban dapat dibujuk ke situs ini melalui phishing atau serangan manipulasi psikologis lainnya,” Claroty menambahkan.
Kabar baiknya, Wibu-Systems telah menambal semua kerentanan tersebut di CodeMeter versi 7.10 dan semua vendor diminta untuk segera memperbarui.[]
