Cyberthreat.id – Trustwave, perusahaan keamanan siber berkantor pusat di Chicago, AS mengatakan pada Rabu (3 Februari 2021) telah menemukan tiga kerentanan keamanan parah yang berdampak pada produk SolarWinds.

Salah satu kerentanan termasuk kategori parah karena dapat dieksploitasi dengan menanam kode secara jarak jauh, tulis The Hacker News, diakses Jumat (5 Februari 2021).

Dua kerentanan menyangkut aplikasi Orion (CVE-2021-25274 dan CVE-2021-25275), sedangkan satu kerentanan ditemukan di server perusahaan, Serv-U FTP, untuk komputer Windows.

Meski begitu, ketiga kelemahan itu diduga belum dieksploitasi dalam serangan rantai pasokan (supply chain attack) yang menargetkan Orion dan baru terungkap pada Desember 2020.

Trustwave melaporkan kerentanan tersebut ke SolarWinds pada 30 Desember 2020 dan 4 Januari 2021. Perusahaan kemudian baru memperbaiki problem pada 22 Januari dan 25 Januari.

Trustwave juga menyarankan agar pelanggan SolarWinds menginstal versi terbaru Orion dan Serv-U FTP (15.2.2 Hotfix 1) untuk mengurangi risiko siber.

Trustwave mengatakan baru akan merilis kode bukti konsep (PoC) pada 9 Februari 2021.

Peneliti Trust Martin Rakhmanov mengatakan, salah satu kerentanan pada Orion bisa mengakibatkan pengguna lokal yang tidak memiliki hak mengambil kendali penuh atas database, mencuri informasi, atau bahkan menambahkan pengguna tingkat admin baru untuk digunakan di Orion.

Sementara, cacat pada Serv-U FTP memungkinkan penyerang yang dapat masuk ke sistem secara lokal atau melalui Desktop Jarak Jauh untuk menjatuhkan file yang mendefinisikan pengguna admin baru dengan akses penuh ke C: \ drive, yang kemudian dapat dimanfaatkan dengan masuk sebagai pengguna melalui FTP dan membaca atau mengganti file apa pun pada drive.

Di tengah tudingan ke China

Ketiga kerentanan itu muncul di tengah laporan peretas asal China mengeksploitasi kerentanan Orion yang sebelumnya tidak terdokumentasi ke Pusat Keuangan Nasional, sebuah badan penggajian federal di Departemen Pertanian AS. (Baca: Setelah Rusia, Kini Hacker Diduga Asal China Terlibat Peretasan SolarWinds di Lembaga Pembayar Gaji AS)

Kerentanan itu disebut-sebut berbeda dari yang disalahgunakan oleh peretas Rusia—selama ini pemerintah AS menuding Rusia di balik peretasan SolarWinds—untuk membobol perangkat lunak Orion yang kemudian didistribusikan ke sebanyak 18.000 pelanggan.

Pekan lalu, Brandon Wales, Plt Direktur Badan Keamanan Siber dan Infrastruktur AS (CISA), mengatakan hampir 30 persen sektor swasta dan lembaga pemerintah yang terkena peretasan tidak memiliki hubungan langsung ke SolarWinds.

Hal itu menyiratkan bahwa para penyerang menggunakan berbagai cara untuk menembus sistem elektronik korban.

Awal serangan

Pada 13 Desember 2020, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya.

Peretas canggih itu menaruh perangkat lunak jahat (malware) “pintu belakang” (backdoor) di pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware bernama “Sunburst” atau “Solorigate” tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang juga memakai Orion.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion bermasalah itu.

Dua hari kemudian, SolarWinds mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan aplikasi trojan itu sekitar 18.000 pelanggan (disebut trojan karena malware menyaru sebagai Orion).

Sejauh ini badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.

Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion dan menemukan malware di sistemnya. Namun, perusahaan mengklaim tak mendapati bahwa produk-produk digitalnya dipakai serangan lanjutan.

Hanya, pada 31 Desember, setelah investigasi internal, Microsoft menemukan, peretas telah berhasil mendapatkan sejumlah kecil akun internal perusahaan yang dipakai untuk mengakses repositori (penyimpanan) kode sumber perusahaan. (Baca: Hacker SolarWinds Akses Kode Sumber Microsoft)

Russsophobia

Rusia membantah bahwa mereka terlibat dalam serangan siber terhadap SolarWidns.

“Rusia tidak terlibat dalam serangan semacam itu. Kami menyatakan ini secara resmi dan tegas,” ujar Juru Bicara Istana Presiden Rusia, Dmitry Peskov seperti dikutip dari TASS, kantor berita Rusia, Senin (21 Desember 2020).

“Setiap tuduhan keterlibatan Rusia sama sekali tidak berdasar, itu lebih seperti Russophobia yang gelap mata jika terjadi insiden apa pun,” ujar dia.

Menurut Peskov, obrolan publik terkait serangan siber bertambah populer di AS karena Amerika-lah yang menjadi korban serangan.

“Yang pasti, obrolan tersebut tidak ada kaitannya dengan kami,” Pesko menegaskan.[]