Vendor sendiri baru-baru ini merilis buletin keamanan, di mana dia menjelaskan semua langkah yang diperlukan untuk menghilangkan kerentanan. Pada saat yang sama, Cybersecurity and Infrastructure Protection Agency (CISA) mengimbau administrator jaringan untuk segera memperbaiki kerentanan tersebut. "Seorang hacker bisa saja menggunakan kerentanan untuk mengambil kendali sistem," kata pesan itu. NSA secara terpisah meminta administrator jaringan untuk Sistem Keamanan Nasional, Departemen Pertahanan, dan seluruh industri pertahanan negara untuk segera mengatasi kerentanan tersebut jika memungkinkan.
Mereka tidak khawatir di mana-mana
Tidak semua orang peduli dengan NSA. Misalnya, Ben Reed, analis senior spionase dunia maya di perusahaan keamanan informasi FireEye, mengatakan bahwa dalam situasi ini, penting untuk menganalisis tidak hanya pesan itu sendiri, tetapi juga dari siapa pesan itu berasal. “Kerentanan kode yang dijalankan dari jarak jauh ini adalah sesuatu yang berusaha dihindari oleh setiap perusahaan. Tapi terkadang itu terjadi. NSA sangat memperhatikan hal ini karena kerentanan dieksploitasi oleh orang-orang dari Rusia dan, mungkin, terhadap target yang penting bagi NSA, ”katanya.
Semua produk VMware yang terpengaruh adalah infrastruktur cloud dan solusi manajemen kredensial. Ini adalah, misalnya, VMware Cloud Foundation, VMware Workspace One Access, dan pendahulunya VMware Identity Manager. Perusahaan mengatakan dalam sebuah pernyataan bahwa "setelah masalah muncul, mereka melakukan pekerjaan untuk menilai kerentanan dan menerbitkan pembaruan dan tambalan untuk menutupnya." Juga dicatat bahwa situasi dinilai sebagai "penting", yaitu satu tingkat di bawah "kritis". Alasannya adalah bahwa peretas harus memiliki akses ke antarmuka manajemen web yang dilindungi kata sandi sebelum mereka dapat mengeksploitasi kerentanan. Setelah peretas mendapatkan akses, ia dapat memanfaatkan kerentanan untuk memanipulasi permintaan otentikasi klaim SAML dan dengan demikian menembus lebih dalam ke jaringan organisasi untuk mendapatkan akses ke informasi sensitif.
NSA sendiri dalam pesannya mengatakan bahwa kata sandi yang kuat mengurangi risiko serangan. Untungnya, produk VMWare yang terpengaruh dirancang sedemikian rupa sehingga administrator tidak menggunakan kata sandi default yang mudah ditebak. Ben Reed dari FireEye mencatat bahwa meskipun mengeksploitasi kesalahan ini memerlukan mengetahui kata sandinya terlebih dahulu, ini bukanlah kendala yang tidak dapat diatasi, terutama bagi peretas Rusia yang memiliki pengalaman luas dalam meretas akun menggunakan banyak metode. Misalnya, Penyemprotan Kata Sandi.
Dia juga mencatat bahwa selama beberapa tahun terakhir, jumlah pernyataan publik tentang identifikasi kerentanan zero-day yang digunakan oleh peretas Rusia telah menurun. Mereka biasanya lebih suka menggunakan bug terkenal.
Rekomendasi NSA
Ketika banyak karyawan bekerja dari jarak jauh, akan sulit untuk menggunakan alat pemantauan jaringan tradisional untuk mengidentifikasi perilaku yang berpotensi mencurigakan. Namun, NSA mengatakan bahwa kerentanan seperti bug VMware menimbulkan masalah unik karena aktivitas berbahaya di sini terjadi dalam koneksi berbasis web terenkripsi yang tidak dapat dibedakan dari otentikasi karyawan. NSA mendorong administrator organisasi untuk meninjau log jaringan untuk pernyataan keluar yang mungkin menunjukkan aktivitas mencurigakan.
“Pantau log otentikasi Anda secara teratur untuk login abnormal, terutama yang berhasil. Perlu diperhatikan bagi mereka yang menggunakan trust yang sudah mapan, tetapi berasal dari alamat yang tidak biasa atau mengandung properti yang tidak biasa, ”kata kementerian itu dalam sebuah pernyataan.
NSA tidak merinci pengamatannya tentang eksploitasi kerentanan oleh peretas pro-Rusia. Namun, menurut laporan media Amerika, peretas dari Rusia aktif menyerang infrastruktur TI AS selama tahun 2020. Secara khusus, mereka tertarik pada tujuan di antara pemerintah, energi, dan struktur penting lainnya. Selain itu, dilaporkan bahwa para peretas aktif selama pemilihan presiden.
Blog ITGLOBAL.COM - Managed IT, private cloud, IaaS, layanan keamanan informasi untuk bisnis: