Cyberthreat.id – Transport for New South Wales (TfNSW), badan pengelola transportasi dan jalan, mengonfirmasi terkena dampak serangan siber akibat kerentanan pada perangkat lunak File Transfer Appliance (FTA) Accellion.

Menurut kantor penerbit surat izin mengemudi tersebut, sebelum serangan itu dihentikan, peretas telah mengambil sejumlah informasi.

Bekerja sama dengan Cyber Security NSW, mereka tengah menyelidiki insiden tersebut sejauhmana dampak pelanggaran, termasuk berkaitan data pelanggan.

Disebutkan bahwa insiden tersebut diklaim hanya terbatas pada server Accellion dan tidak ada sistem TfNSW lain yang terkena dampak.

“Kami menyadari bahwa privasi data adalah yang terpenting dan kami prihatin ada pelanggan yang mungkin terpengaruh oleh serangan ini,” tutur TfNSW, demikian seperti dikutip dari ZDNet, diakses Rabu (24 Februari 2021)

Komisi Sekuritas dan Investasi Australia (ASIC) pada Januari lalu juga mengatakan salah satu servernya diretas juga berkaitan dengan FTA Accellion. Hal sama juga dialami oleh bank sentral NSW.

Pada Desember 2020, peretas menyusup ke server perangkat lunak FTA Accellion yang rentan dan menanamkan malware di dalamnya. Serangan ini mirip halnya dengan serangan terhadap perangkat lunak Orion milik SolarWinds.

FTA adalah perangkat lunak untuk transfer file berukuran besar yang dikembangkan, jauh sebelum layanan Box, Dropbox, Google Drive, dan OneDrive lahir, yaitu pada awal 2000. FTA menjadi pioner perangkat lunak yang memudahkan orang berbagi file berukuran besar.

Untuk memakainya, konsumen cukup membeli lisensi FTA, lalu menginstal aplikasi di server perusahaan. Karyawan tak perlu repot-repot mengirimkan file berukuran besar yang tak bisa dilakukan via email.

Sejumlah korban

Kasus pertama peretasan FTA dilaporkan oleh bank sentral Selandia Baru (RBNZ), yang kemudian diikuti oleh Komisi Sekuritas dan Investasi Australia (ASIC), firma hukum Allens, Universitas Colorado, dan Kantor Auditor Negara Bagian Washington.

Selain itu, korban yang mengumumkan dalam beberapa hari terakhir yaitu QIMR Berghofer Medical Research Institute, Singtel, perusahaan telekomunikasi terbesar di Singapura, dan perusahaan ritel AS Kroger.

Menurut laporan GuidePoint Security, perusahaan keamanan siber asal AS, penyerang diduga menggunakan SQL injection untuk menginstal web shell dan menggunakan akses awal ini untuk mencuri file yang disimpan di perangkat FTA.

Apa itu SQL injection?

SQL injection adalah salah satu cara membobol aplikasi dengan cara memodifikasi perintah SQL pada form input aplikasi. Serangan ini juga biasa dikenal dengan teknik eksploitasi celah keamanan pada lapisan basis data untuk mendapatkan query (permintaan) data pada sebuah aplikasi.

Cara sederhana memahami teknik SQL injection melalui form username, misalnya. Form ini harusnya diisi dengan karakter saja, tetapi form tersebut bisa diisi dengan karakter lain. Di sinilah, peretas menyisipkan karakter seperti (:;-,=’) sehingga bisa memasukkan permintaan SQL injection. Akibatnya aplikasi bisa ditembus.

SQL atau Structure Query Language adalah standar manajemen basis data dalam sebuah aplikasi. Maka dari itu, ketika peretas membobol aplikasi dengan teknik ini, mereka bisa mencuri basis data yang ada.

Sementara, web shell adalah sejenis teks perintah yang bisa digunakan untuk mengakses ke dalam sistem dengan mengeksekusi program tertentu.

Pembaruan firmware

Terkait serangan siber Desember lalu, dalam pernyataan tertulisnya tertanggal 11 Januari 2021, Accellion mengatakan, telah mengetahui kerentanan pada FTA medio Desember dan telah merespons dengan merilis pembaruan firmware FTA tiga hari setelah serangan pertama.

Pada saat itu, Accellion mengatakan sekitar 50 pelanggan FTA diduga menjadi korban.

Meski menerbitkan pembaruan, sejumlah kalangan mengkritiknya karena pembaruan diterbitkan di Malam Natal, hari di mana banyak tim TI berlibur.

Selain itu, Accellion tidak menerbitkan catatan tambalan untuk pembaruan firmware-nya, juga tidak menetapkan pengenal bug keamanan (CVE) ke daftar kerentanan yang ditambal.

Gara-gara serangan itu, sebuah firma hukum asal Seattle menjadi perusahaan pertama yang menguggat Accellion sehubungan dengan peretasan Kantor Auditor Negara Bagian Washington.

Setelah insiden itu Accellion, perusahaan layanan komputasi awan asal Amerika Serikat, akan mengakhiri resmi FTA per 30 April 2021. Setelah tanggal tersebut, lisensi FTA tidak akan diperpanjang lagi.[]