Cyberthreat.id – Biro Investigasi Federal (FBI) dan Badan Keamanan Siber dan Keamanan Infrastruktur (CISA) memperingatkan bahwa kelompok hacker yang didukung negara (APT) menargetkan server Fortinet FortiOS dengan mengeksploitasi beberapa kerentanan.

Dikutip dari Bleeping Computer, dalam Joint Cybersecurity Advisory (CSA) yang diterbitkan hari ini, kedua badan itu memperingatkan admin dan pengguna server Fotrinet FortiOS bahwa grup peretasan yang disponsori negara kemungkinan mengeksploitasi kerentanan yang belum ditambal di CVE-2020-12812 dan CVE-2019-5591, serta memindai perangkat rentan CVE-2018-13379 pada port 4443, 8443, dan 10443.

Menurut FBI dan CISA, kelompok APT ini dapat menyalahgunakan kerentanan keamanan ini untuk menyusupi jaringan layanan pemerintah, komersial, dan teknologi. Begitu mereka mendapatkan akses ke jaringan target, mereka mungkin menggunakan akses awal ini untuk serangan di masa depan.

“Para aktor APT mungkin menggunakan salah satu atau semua kerentanan CVE ini untuk mendapatkan akses ke jaringan di beberapa sektor infrastruktur penting untuk selanjutnya mengakses jaringan utama sebagai pra-posisi untuk tindak lanjut eksfiltrasi data atau serangan enkripsi data," ungkap kedua lembaga itu.

Menurut keduanya, kelompok APT ini bisa menggunakan CVE lain atau teknik eksploitasi umum seperti menyebarkan jebakan phishing untuk mendapatkan akses ke jaringan infrastruktur penting dan menyiapkan serangan lanjutan. Selain itu, kelompok APT juga secara historis mengeksploitasi kerentanan kritis untuk melakukan serangan penolakan layanan  terdistribusi (DDoS), serangan ransomware, serangan injeksi bahasa kueri terstruktur (SQL), kampanye spearphishing, perusakan situs web, dan kampanye disinformasi.

FBI dan CISA juga membagikan beberapa langkah-langkah mitigasi untuk memblokir upaya penyusupan dalam serangan yang disponsori negara yang sedang berlangsung ini.

Sebelumnya, pada November 2020, peretas membagikan daftar eksploitasi CVE-2018-13379, yang dapat digunakan untuk mencuri kredensial VPN dari hampir 50.000 server Fortinet VPN, termasuk pemerintah dan bank. Tak hanya iyu, sebuah kelompok APT juga menyalahgunakan kerentanan CVE-2018-13379 di Fortinet FortiOS Secure Socket Layer (SSL) VPN untuk menyusupi sistem pendukung pemilu AS yang dapat dijangkau melalui Internet.

Pada September 2020, Microsoft memperingatkan aktor APT Rusia, China, dan Iran yang menargetkan pemilu AS 2020. Laporan Microsoft mengkonfirmasi intelijen pemerintah AS yang dibagikan tahun lalu tentang peretas Rusia, Iran, dan China yang mencoba "membahayakan komunikasi pribadi kampanye politik AS, kandidat, dan target politik lainnya."

Sementara itu, Fortinet mengatakan, kerentanan CVE-2018-13379 merupakan kerentanan lama yang diselesaikan pada Mei 2019. Fortinet juga telah mengeluarkan nasihat PSIRT dan dikomunikasikan langsung dengan pelanggan dan melalui posting blog perusahaan pada beberapa kesempatan pada Agustus 2019 dan Juli 2020.

Setelah penyelesaian itu, Fortinet secara konsisten berkomunikasi dengan pelanggan, paling lambat hingga tahun 2020. CVE-2019-5591 diselesaikan pada Juli 2019 dan CVE-2020-12812 diselesaikan pada Juli 2020. []