Cyberthreat.id – Puluhan router rumah ditemukan memiliki kerentanan kritis yang bisa dipakai oleh penjahat siber untuk mengambil alih dan menyebarkan muatan berbahaya.

Salah satu router yang terpengaruh dan sedang dieksploitasi di alam liar ialah model Arcadyan. Kerentanan yang dimiliki router ini (dilabeli sebagai CVE-2021-20090) berupa traversal jalur kritis di antarmuka web router dengan firmware Arcadyan.

Mengeksploitasi kerentanan itu memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk membobol otentikasi, demikian temuan dari perusahaan keamanan siber Juniper Threat Labs, dikutip dari BleepingComputer, diakses Senin (9 Agustus 2021).

Dalam pengamatannya sejak Februari lalu, peneliti mendapati kerentanan itu dimanfaatkan aktif oleh penyerang untuk menanam botnet Mirai yang biasa digunakan untuk meluncurkan serangan DDoS—membanjiri permintaan palsu ke situs web yang ditargetkan dengan tujuan membuat akses ke web tersebut terganggu atau server lumpuh.

Selain Arcadyan, ada juga model router rumahan lain dari penyedia layanan internet (ISP) yang memiliki kerentanan serupa, seperti ASUS, British Telecom, Deutsche Telekom, Orange, O2 (Telefonica), Verizon, Vodafone, Telstra, dan Telus.

Jika melihat berdasarkan jumlah model router dan daftar panjang vendor yang terkena dampak bug tersebut, jumlah total perangkat yang potensial diserang kemungkinan mencapai jutaan router.

Sementara, Tenable, perusahaan keamanan siber, mengatakan kerentanan firmware pada router Arcadyan telah ada setidaknya selama 10 tahun. Kerentanan ini telah memengaruhi 20 model router di 17 perusahaan yang berbeda. Cek laporan Tenable.

Dari China

Sejak Kamis lalu, Juniper Threat Labs mengidentifikasi beberapa pola serangan yang mencoba mengeksploitasi kerentanan tersebut di alam liar yang berasal dari alamat IP yang terletak di Wuhan, Provinsi Hubei, China.

Pelaku ancaman di balik aktivitas eksploitasi yang sedang berlangsung ini menggunakan alat berbahaya untuk menyebarkan varian botnet Mirai, serupa dengan yang digunakan dalam operasi Mirai yang menargetkan perangkat IoT dan keamanan jaringan, yang ditemukan oleh peneliti Unit 42 Palo Alto Networks pada Maret lalu.

"Kesamaan tersebut dapat menunjukkan bahwa pelaku ancaman yang sama berada di balik serangan baru ini," kata Juniper Threat Labs.

Para peneliti pertama kali melihat aktivitas aktor ancaman pada 18 Februari. Sejak itu, mereka terus menambahkan eksploitasi baru ke persenjataan mereka, yang menargetkan CVE-2021-20090.

"Mengingat kebanyakan orang mungkin tidak menyadari risiko keamanan, dan belum tentu akan memperbarui perangkat, taktik serangan ini bisa sangat berhasil, murah, dan mudah dilakukan," ujar Juniper Threat Labs.

Indikator peretasan (IOC), termasuk alamat IP yang digunakan untuk meluncurkan serangan dan contoh hash, tersedia di laporan Juniper Threat Labs.[]

Daftar semua perangkat dan vendor yang terkena dampak (termasuk versi firmware yang rentan).