Jakarta, Cyberthreat.id – Pada akhir Maret 2020, perusahaan keamanan siber China, Qihoo 360 Netlab, menerbitkan laporan terkait kerentanan pada ­router DrayTek.

Kerentanan tersebut telah dieksploitasi oleh peretas (hacker) misterius untuk “menguping” File Transfer Protocol (FTP) dan lalu lintas email di jaringan perusahaan. (Baca: Hacker Misterius Memata-matai Trafik Router DrayTek)

DrayTek adalah perusahaan asal Taiwan yang memproduksi perangkat Firewall, VPN, router, WLAN dan sejenisnya.

Merespons ada kerentanan itu, Badan Siber dan Sandi Negara (BSSN) Republik Indonesia juga mengeluarkan saran keamanan siber (PDF) terkait router DrayTek pada 5 April lalu.

Dalam saran keamanan bertajuk “Imbauan Kerentanan Router DrayTek Vigor (CVE-2020-8515)”, BSSN mengatakan, perangkat DrayTek yang mengalami kerentanan yaitu DrayTek Vigor seri 2960, 3900, dan 300B.

“Dari versi router tersebut terdapat celah kerawanan pada KeyPath command injection dan  rtick command  injection yang dapat dimanfaatkan oleh pihak yang tidak bertanggung  jawab untuk melakukan tapping (penyadapan) jaringan dan dapat menambahkan user baru dengan tingkat akses sebagai administrator,” tulis BSSN.

BSSN juga mendasarkan saran itu atas laporan 360 Netlab. Ada dua kerentanan, yaitu

Pertama, perintah injeksi (command injection) pada KeyPath

Tipe kerentanan ialah remote command execution tanpa otorisasi pada variabel . Sementara, detail kerentanan, yaitu proses transmisi username dan password pad perangkat DrayTek didukung denga metode teks jelas dan enkripsi RSA.

Kedua, perintah injeksi pada rtick

Tipe Kerentanan ialah remote command execution yang tidak terotorisasi. Sementara, detail kerentanan, yaitu ketika /www/cgi-bin/mainfuntion.cgi memerlukan akses pada kode verifikasi, fungsi formCaptcha() dijalankan, fungsi tersebut  tidak melakukan pengecekan nilai timestamp pada “rtick” dan menjalankan /usr/sbin/captcha secara langsung untuk menghasilkan gambar .gif yang merupakan gambar  CAPTCHA. Oleh  karena itu hal ini memungkinkan dilakukan

Menurut BSSN, serangan pada router DrayTek dapat menyebabkan kerugian pada pemilik perangkat. Yaitu, akses pada router dapat dimanfaatkan oleh aktor jahat untuk membuat backdoor pada aset yang terhubung dengan router atau membuat backdoor di router itu sendiri.

“Selain  itu, lalu lintas jaringan yang terdapat informasi yang sensitif bagi pemilik aset dapat dilihat secara bebas,” tutur BSSN.

Berikut ini daftar versi firmware dari DrayTek yang terdampak kerentanan:

• Vigor2960 versi 1.5.1 atau lebih lama
• Vigor300B v1.5.1 atau lebih lama
• Vigor3900 v1.5.1 atau lebih lama
• VigorSwitch20P2121 versi 2.3.2 dan atau lebih lama
• VigorSwitch20G1280 v2.3.2 dan atau lebih lama
• VigorSwitch20P1280 v2.3.2 dan atau lebih lama
• VigorSwitch20G2280 v2.3.2 dan atau lebih lama
• VigorSwitch20P2280 v2.3.2 dan atau lebih lama

Berikut hal-hal yang direkomendasikan oleh BSSN kepada pengguna router DrayTek:

• Memperbarui firmware perangkat router DrayTek dengan mengunduh secara resmi melalui di situs web DrayTek (klik di sini).
• Menonaktifkan akses jarak jauh seperti SSH jika tidak dibutuhkan. Jika dibutuhkan, gunakan whitelist sebagai kontrol.
• Lakukan audit pada akun admin router, akun SSH, web session, dan sistem untuk mengetahui ada atau tidaknya backdoor yang telah dibuat.
• Menambahkan Indicator of Compromise (IoC) pada perimeter keamanan yang dimiliki untuk mendeteksi apakah router yang dimiliki telah mengalami kompromi (peretasan) atau tidak.[]

Redaktur: Andi Nugroho