Gawat, Nyaris 900 Server Diretas Hacker dalam 1,5 Bulan Terakhir

Liputan6.com, Jakarta - Hampir 900 server kena retas dengan menggunakan kerentanan kritis Zimbra Collaboration Suite (ZCS), yang pada saat itu adalah zero-day tanpa patch (tambalan celah keamanan) selama hampir 1,5 bulan.

Zimbra adalah perangkat lunak open source yang digunakan untuk email dan groupware. Sementara zero day merupakan serangan siber yang dilakukan kelompok hacker dengan cara memanfaatkan celah atau lubang keamanan pada sebuah website.

Kerentanan yang dilacak sebagai CVE-2022-41352 tersebut yaitu kelemahan eksekusi kode jarak jauh yang memungkinkan penyerang mengirim email dengan lampiran arsip berbahaya yang menanam web shell di server ZCS, pada saat yang sama, bisa melewati pemeriksaan antivirus.

Menurut perusahaan keamanan siber Kaspersky, berbagai kelompok APT (advanced persistent threat/ ancaman persisten lanjutan) secara aktif mengeksploitasi kelemahan tersebut segera setelah dilaporkan di forum Zimbra.

Kaspersky mengatakan kepada Bleeping Computer, dikutip Senin (17/10/2022), bahwa mereka mendeteksi setidaknya 876 server yang disusupi oleh hacker canggih yang memanfaatkan kerentanan sebelum dipublikasikan secara luas dan menerima pengenal CVE.

Pekan lalu, laporan Rapid7 memperingatkan tentang eksploitasi aktif CVE-2022-41352 dan mendesak admin untuk menerapkan solusi yang tersedia karena pembaruan keamanan tidak ada saat itu.

Pada hari yang sama, bukti konsep (proof of concept/PoC) ditambahkan ke kerangka Metasploit, memungkinkan peretas 'kelas teri' untuk meluncurkan serangan efektif terhadap server yang rentan.

Zimbra telah merilis perbaikan keamanan dengan ZCS versi 9.0.0 P27, mengganti komponen rentan (cpio) dengan Pax dan menghapus bagian lemah yang memungkinkan eksploitasi.

Bareskrim Polri berhasil bongkar aksi kejahatan peretasan ilegal situs-situs di tanah air. Sejumlah tersangka ditangkap, mereka diduga bobol belasan situs pemerintah untuk promo judi online.

2 dari 5 halaman

Dimanfaatkan Kelompok Hacker Canggih

Dalam percakapan pribadi dengan perusahaan keamanan siber Kaspersky, Bleeping Computer diberitahu bahwa APT tak dikenal yang memanfaatkan kelemahan kritis kemungkinan telah menyatukan eksploitasi berdasarkan informasi yang diposting ke forum Zimbra.

Serangan pertama dimulai pada September 2022, menargetkan server Zimbra yang rentan di India dan beberapa di Turki. Gelombang serangan awal ini kemungkinan merupakan pengujian terhadap target untuk mengevaluasi keefektifan serangan.

Namun, Kaspersky menilai bahwa pelaku serangan telah menyusupi 44 server selama gelombang awal ini.

Segera setelah kerentanan mencuat, sang hacker beralih dan mulai melakukan penargetan massal, berharap untuk menyusupi sebanyak mungkin server di seluruh dunia sebelum admin menambal sistem dan menutup pintu bagi penyusup.

Gelombang kedua ini memiliki dampak yang lebih besar, menginfeksi 832 server dengan webshell berbahaya, meskipun serangan ini lebih acak daripada serangan sebelumnya.

Admin ZCS yang belum menerapkan pembaruan keamanan Zimbra yang tersedia harus segera melakukannya, karena aktivitas eksploitasi sedang berlangsung dan kemungkinan tidak akan berhenti dalam beberapa waktu ke depan.

3 dari 5 halaman

Hacker Serang 14 Situs Bandara AS, Diduga Ulah Rusia

109 Juta Warga AS Diperkirakan Akan Bepergian — Pelancong melintasi penyeberangan di Bandara Internasional Los Angeles di tengah lonjakan kasus varian omicron, Selasa (21/12/2021). AAA memperkirakan lebih dari 109 juta orang Amerika akan melakukan perjalanan selama musim liburan antara 23 Desember - 2 Januari. (MARIO TAMA/Getty Images via AFP)

Sebelumnya, kelompok hacker yang diyakini berbasis di Rusia, memaksa sekitar 14 situs web publik untuk bandara di Amerika Serikat (AS) untuk offline.

Situs web LaGuardia, O'Hare, dan LAX adalah termasuk di antara yang ditargetkan hacker, dan sebagian besar dari mereka telah kembali online. Demikian seperti dikutip dari Engadget, Selasa (11/10/2022).

Seorang pejabat senior pemerintah AS mengatakan bahwa kontrol lalu lintas udara, komunikasi internal bandara, dan operasi penting lainnya tidak terpengaruh.

Pun demikian, menurut laporan ABC News, pelancong yang mencari waktu tunggu keamanan atau informasi lain di bandara AS yang kena serangan mungkin merasa tidak nyaman.

Seorang juru bicara LAX menegaskan bahwa, "Tidak ada sistem bandara internal yang terganggu dan tidak ada gangguan operasional."

"Pada hari Senin 10 Oktober 2022 sekitar pukul 03.00, terjadi insiden penolakan layanan yang berlangsung selama 15 menit--mengakibatkan penundaan intermiten mengakses situs web bandara LaGuardia," kata juru bicara Otoritas Bandara kepada ABC News.

"Sistem pertahanan keamanan siber Otoritas Bandara mendeteksi insiden dengan cepat, mengatasi masalah dalam 15 menit, dan memungkinkan kami memperingatkan orang lain dengan segera memberi tahu otoritas federal. Tidak ada dampak operasional pada fasilitas Otoritas Bandara mana pun," sambungnya.

4 dari 5 halaman

Serangan DDoS

Insiden itu, yang dikatakan sebagai akibat dari serangan distributed denial of service (DDoS), telah diafiliasikan pada kelompok peretas pro-Rusia bernama Killnet.

Namun, para peretas tidak diyakini sebagai aktor pemerintah. Tidak ada bukti bahwa pemerintah Rusia terlibat dalam insiden ini. Demikian kata seorang analis keamanan siber.

Serangan DDoS sendiri adalah sebuah serangan siber yang bertujuan menutup akses suatu jaringan, sistem, maupun aplikasi berbasis web.

Badan Keamanan Siber dan Infrastruktur (Cybersecurity and Infrastructure Security Agency/CISA) bersama Administrasi Keamanan Transportasi sedang memantau situasi. CISA mencatat tidak ada kekhawatiran tentang gangguan operasional bandara.

5 dari 5 halaman