– Five Eyes, aliansi keamanan siber, menemukan bahwa kerentanan lama tetapi belum ditambal adalah favorit pelaku ancaman.
– Organisasi belum menerapkan aplikasi tambalan yang tepat waktu dan praktik pemeliharaan keamanan berkala.
– Menurut laporan NSA, FBI, dan CISA, lebih dari setengah dari 12 kerentanan yang dieksploitasi ditemukan pada tahun 2021 atau sebelumnya.
Five Eyes menerbitkan laporan 2022 Top Routinely Exploited Vulnerabilities. Aliansi keamanan siber menemukan bahwa kerentanan lama tetapi belum ditambal adalah favorit pelaku ancaman.
Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI) berkolaborasi dengan masing-masing badan keamanan siber dari Inggris, Australia, Kanada, dan Selandia Baru, untuk mengungkap temuan tersebut, yang mengungkapkan bahwa organisasi belum menerapkan aplikasi tambalan yang tepat waktu dan praktik pemeliharaan keamanan berkala.
Laporan tersebut mencatat bahwa lebih dari setengah dari 12 kerentanan teratas yang dieksploitasi ditemukan pada tahun 2021 atau lebih awal dan tambalan untuk kelemahan tersebut tersedia. Selain itu, proof of concept (PoC) untuk sebagian besar bug keamanan ini tersedia untuk umum.
Rosa Smothers, mantan analis ancaman dunia maya CIA dan eksekutif saat ini di KnowBe4, mengatakan kepada Spiceworks, “Yang paling menarik dari perspektif keamanan dunia maya adalah bahwa tujuh dari dua belas kerentanan ini ditemukan antara tahun 2018 dan 2021.
“Salah satu prinsip dasar cybersecurity adalah manajemen tambalan yang baik dari kelemahan keamanan yang memengaruhi perangkat lunak dan peralatan. Organisasi yang tetap rentan jelas apatis terhadap lanskap ancaman.”
Kerentanan Fortinet FortiOS dan FortiProxy ditampilkan sebagai kerentanan yang paling banyak dieksploitasi pada tahun 2022, diikuti oleh tiga kerentanan Microsoft Exchange Server, bug eksekusi kode jarak jauh di Zoho ManageEngine, kerentanan eksekusi kode di Confluence Server dan Pusat Data, dan cacat Log4Shell di Apache Kerangka kerja Log4j, yang semuanya juga masuk dalam daftar Kerentanan Eksploitasi Rutin Teratas CISA 2021.
William Wright, CEO Closed Door Security, mengatakan kepada Spiceworks, “Kerentanan pada daftar 12 teratas berasal dari berbagai vendor, dan beberapa sudah sangat tua, tetapi ini adalah bug yang dicari penyerang. Mereka tahu bahwa perangkat lunak ada di mana-mana, dan mereka dapat dengan mudah menjalankan pemindaian untuk menemukan server yang rentan, sehingga mengeksploitasi bug ini membutuhkan sedikit usaha dari pihak mereka.”
Daftar 12 Kerentanan yang Dieksploitasi Secara Rutin Tahun 2022
| CVE | CVSS v3.1 Score | Vendor | Product | Type |
| CVE-2018-13379 | 09.08 | Fortinet | FortiOS and FortiProxy | SSL VPN credential exposure |
| CVE-2021-34473 | 09.08 | Microsoft | Exchange Server | RCE |
| (Proxy Shell) | ||||
| CVE-2021-31207 | 07.02 | Microsoft | Exchange Server | Security Feature Bypass |
| (Proxy Shell) | ||||
| CVE-2021-34523 | 09.08 | Microsoft | Exchange Server | Elevation of Privilege |
| (Proxy Shell) | ||||
| CVE-2021-40539 | 09.08 | Zoho ManageEngine | ADSelfService Plus | RCE/ |
| Authentication Bypass | ||||
| CVE-2021-26084 | 09.08 | Atlassian | Confluence Server and Data Center | Arbitrary code execution |
| CVE-2021- 44228 | 10 | Apache | Log4j2 | RCE |
| (Log4Shell) | ||||
| CVE-2022-22954 | 09.08 | VMware | Workspace ONE Access and Identity Manager | RCE |
| CVE-2022-22960 | 07.08 | VMware | Workspace ONE Access, Identity Manager, and vRealize Automation | Improper Privilege Management |
| CVE-2022-1388 | 09.08 | F5 Networks | BIG-IP | Missing Authentication Vulnerability |
| CVE-2022-30190 | 07.08 | Microsoft | Multiple Products | RCE |
| CVE-2022-26134 | 09.08 | Atlassian | Confluence Server and Data Center | RCE |
“Daftar target ini sudah menjadi bagian dari gudang senjata yang digunakan oleh penjahat dunia maya untuk mendapatkan akses ke jaringan organisasi. Ini seperti membunyikan bel pintu untuk melihat apakah ada orang di rumah dan memutar pegangan pintu. Jika tidak terkunci, mereka masuk ke dalam tanpa masalah, ”James McQuiggan, Advokat Kesadaran Keamanan di KnowBe4, menjelaskan kepada Spiceworks.
“Misalkan penjahat dunia maya memindai kerentanan ini pada perangkat jaringan eksternal organisasi seperti Exchange, Fortinet, atau Apache (Log4j). Jika hasilnya kembali benar, maka rentan. Dalam hal ini, organisasi mempermudah mereka untuk berjalan di pintu depan sebelum melakukan rekayasa sosial apa pun.”
Namun, McQuiggan menyoroti pentingnya pengembang dalam memastikan perlindungan dari kerentanan. “Meskipun sangat penting untuk mengikuti patch, pengembang harus memastikan bahwa mereka memiliki patch untuk kerentanan yang diketahui tersedia secepat mungkin untuk mengurangi risiko serangan terhadap pelanggan mereka.”
Meskipun hal ini berlaku untuk kerentanan baru, tidak ada alasan bagi organisasi hilir untuk mengendurkan peran mereka dalam menambal secara bertanggung jawab. “Saran saya kepada organisasi adalah untuk menguji aset mereka terhadap kerentanan ini sesegera mungkin dan kemudian menerapkan tambalan jika diperlukan. Sekarang daftar ini telah dikeluarkan, penyerang akan bekerja keras untuk memanfaatkan bug ini sebanyak mungkin selagi masih bisa. Jam terus berdetak, dan penyerang mengetahuinya,” kata Wright.
Microsoft Eye of the Storm
Selain 12 kerentanan di atas, Five Eyes juga membagikan daftar 30 kerentanan tambahan, 10 di antaranya terdapat pada produk Microsoft. Secara keseluruhan, dari 42 kerentanan yang diidentifikasi oleh Five Eyes, 14 berasal dari produk Microsoft.
Laporan Top Routinely Exploited Vulnerabilities 2022 muncul menyusul surat pedas Senator Ron Wyden (D-OR) kepada Jen Easterly, direktur CISA; Merrick B. Garland, jaksa agung di Departemen Kehakiman; dan Lina Khan, ketua Komisi Perdagangan Federal, tentang perilaku Microsoft terkait manajemen kerentanan.
“Saya menulis untuk meminta agensi Anda mengambil tindakan untuk meminta pertanggungjawaban Microsoft atas praktik keamanan siber yang lalai, yang memungkinkan kampanye spionase China yang berhasil melawan pemerintah Amerika Serikat,” tulis Wyden.
Surat Wyden mengacu pada kampanye spionase dunia maya yang berasal dari Tiongkok yang menargetkan dan membahayakan ratusan orang AS, termasuk pejabat pemerintah. Wyden terus menuduh bahwa Microsoft juga harus disalahkan atas kampanye besar-besaran SolarWinds di mana penyerang memperoleh akses “dengan mencuri kunci enkripsi dan memalsukan kredensial Microsoft.”
Hampir seminggu setelah surat Wyden, ketua dan CEO Tenable Amit Yoran juga turun ke LinkedIn untuk menyatakan ketidaksetujuannya terhadap Microsoft dan “budaya kebingungan beracun” -nya. Yoran menunjukkan laporan Google Project Zero yang menemukan bahwa produk Microsoft menyumbang 42,5% agregat dari semua kerentanan zero-day yang ditemukan sejak 2014.
“Kurangnya transparansi Microsoft berlaku untuk pelanggaran, praktik keamanan yang tidak bertanggung jawab, dan kerentanan, yang semuanya mengekspos pelanggan mereka pada risiko yang sengaja mereka simpan dalam kegelapan,” tulis Yoran. CEO Tenable mengutip dua kerentanan yang ditemukan perusahaan pada Maret 2023 bahwa Microsoft membutuhkan waktu 90 hari untuk meluncurkan perbaikan sebagian.
“Ini adalah pola perilaku yang berulang. Beberapa perusahaan keamanan telah menulis tentang interaksi pemberitahuan kerentanan mereka dengan Microsoft dan sikap mengabaikan Microsoft tentang risiko kerentanan yang ada pada pelanggan mereka. Orca Security, Wiz, Positive Security, dan Fortinet menerbitkan contoh utama, dengan yang terakhir meliput bencana keamanan yang dikenal sebagai ‘Follina.’” – Amit Yoran, CEO di Tenable.
Menurut Yoran, bug, yang salah satunya dianggap kritis oleh Tenable, masih belum sepenuhnya terselesaikan 120 hari setelah Tenable memberi tahu raksasa teknologi yang berbasis di Redmond itu.
“Penyedia cloud telah lama mendukung model tanggung jawab bersama. Model itu rusak dan tidak dapat diperbaiki jika vendor cloud Anda tidak memberi tahu Anda tentang masalah yang muncul dan menerapkan perbaikan secara terbuka, ”lanjut Yoran. “Rekam jejak Microsoft menempatkan kita semua dalam risiko. Dan itu bahkan lebih buruk dari yang kita duga.”
