Cyberthreat.id - Sekelompok peretas berhasil menyerang jaringan pemerintah di Amerika Serikat dengan memanfaatkan celah keamanan pada VPN dan Windows.

Dikutip dari ZDnet, FBI dan CISA (Badan Keamanan Siber dan Infrastruktur Amerika Serikat) menerbitkan peringatan pada Jumat (9 Oktober 2020), terkait dengan peretas yang berhasil memperoleh akses ke jaringan pemerintah dengan memanfaatkan kerentanan pada VPN dan Windows.

Serangan ini menargetkan jaringan pemerintah federal dan negara bagian, lokal, suku, dan teritorial (SLTT). FBI dan CISA juga menemukan serangan terhadap jaringan non-pemerintah.

CISA mengatakan, pihaknya mengetahui beberapa akses tidak sah ke sistem pendukung pemilu. Namun, CISA tidak memiliki bukti  bahwa data terkait pemilu telah diretas.

"Meskipun tampaknya target ini tidak dipilih karena kedekatannya dengan informasi pemilu, mungkin ada beberapa risiko informasi pemilu yang disimpan di jaringan pemerintah," ungkap FBI dan CISA.

Berdasarkan peringatan yang dikeluarkan oleh FBI dan CISA, serangan tersebut menggabungkan kerentan pada VPN milik Fortinet dan Zerologon milik Windows.

Kerentanan pada VPN Fortinet diklasifikasi sebagai CVE-2018-13379  merupakan kerentanan yang terdapat pada Fortinet FortiOS Secure Socket Layer (SSL) VPN, server VPN di lokasi yang dirancang untuk digunakan sebagai gateway aman untuk mengakses jaringan perusahaan dari lokasi yang jauh. Kerentanan ini memungkinkan penyerang mengunggah file berbahaya pada sistem yang belum ditambal dan mengambil alih server Fortinet VPN.

Sedangkan kerentanan zerologon yang diklasifikasikan sebagai CVE-2020-1472, merupakan kerentanan yang terdapat pada Netlogon, protokol yang digunakan oleh workstation Windows untuk mengautentikasi Windows Server yang berjalan sebagai pengontrol domain.

Kerentanan ini memungkinkan penyerang mengambil alih pengontrol domain, pengguna server untuk mengelola seluruh jaringan internal/perusahaan dan biasanya berisi kata sandi untuk semua workstation yang terhubung.

CISA dan FBI mengatakan penyerang menggabungkan dua kerentanan ini untuk membajak server Fortinet dan kemudian melakukan pivot dan mengambil alih jaringan internal menggunakan Zerologon.

"Pelaku diamati menggunakan alat akses jarak jauh yang sah, seperti VPN dan Protokol Desktop Jarak Jauh (RDP), untuk mengakses lingkungan dengan kredensial yang disusupi."

Peringatan itu tidak memberikan rincian tentang penyerang. Mereka hanya disebut sebagai pelaku ancaman persisten tingkat lanjut (APT), istilah yang sering dipakai oleh pakar keamanan dunia maya untuk menggambarkan kelompok peretasan yang disponsori negara.

FBI dan CISA merekomendasikan entitas di sistem pembaruan sektor swasta dan publik AS untuk menambal dua kerentanan, yang tambalannya sudah tersedia. Selain itu, keduanya juga memperingatkan bahwa peretas dapat menukar bug Fortinet dengan kerentanan lain dalam produk VPN dan gateway yang telah diungkapkan selama beberapa bulan terakhir dan yang menyediakan akses serupa.

Ini termasuk kerentanan pada:

- Pulse Secure "Connect" enterprise VPN (CVE-2019-11510)
- Palo Alto Networks "Global Protect" VPN servers (CVE-2019-1579)
- Citrix "ADC" servers and Citrix network gateways (CVE-2019-19781)
- MobileIron mobile device management servers (CVE-2020-15505)
- F5 BIG-IP network balancers (CVE-2020-5902)

Semua kerentanan yang tercantum di atas memberikan akses awal ke server yang sering digunakan jaringan perusahaan dan pemerintah.[]

Editor: Yuswardi A. Suud