Cyberthreat.id – Para peneliti keamanan siber Eye Control menemukan perangkat lunak jahat (malware) “pintu belakang” (backdoor) di sekitar 100.000 firewall, VPN gateway, dan pengontrol titik akses buatan perusahaan perangkat jaringan asal Taiwan, Zyxel.

Dalam laporan Desember 2020, perusahaan keamanan siber asal Belanda itu mengatakan, “pintu belakang” tersebut dapat memberi akses root kepada peretas melalui antarmuka SSH atau panel administrasi web.

Dengan kondisi seperti itu, peretas bisa mengambil kendali penuh atas hak administrator. Diketahui, akun backdoor itu menggunakan nama pengguna "zyfwp" dan kata sandi "PrOw! AN_fXp".

Perangkat-perangkat yang rentan mencakup produk-produk teratas Zyxel untuk kelas bisnis. Perangkat-perangkat Zyxel ini biasanya dipakai jaringan perusahaan swasta dan pemerintah, seperti;

• seri Advanced Threat Protection (ATP) - digunakan terutama sebagai firewall
• seri Unified Security Gateway (USG) yang digunakan sebagai firewall hibrida dan VPN gateway.
• seri USG FLEX yang digunakan sebagai firewall hibrida dan VPN gateway.
• seri VPN yang digunakan sebagai VPN gateway.
• seri NXC yang digunakan sebagai pengontrol titik akses WLAN.

Dengan adanya backdoor tersebut, menurut peneliti, membuat siapa pun mulai dari operator botnet untuk serangan DDoS hingga kelompok peretasan yang disponsori negara dan geng ransomware dapat menyalahgunakan kerentanan tersebut.

“Pemilik perangkat pun disarankan segera memperbarui sistemnya sesegera mungkin,” peneliti menyarankan seperti dikutip dari ZDNet, diakses Senin (4 Januari 2021).

Saat inihanya tersedia perbaikan (patch) untuk seri ATP, USG, USG Flex, dan VPN. Perbaikan untuk seri NXC diharapkan bisa keluar pada April 2021.

Peneliti senior Eye Control, Niels Teusink, mengatakan, jika kerentanan tersebut dieksploitasi, peretas dapat membahayakan kerahasiaan perangkat—pengaturan firewall dapat diubah tanpa izin juga mereka bisa memblokir lalu lintas tertentu.

"Mereka juga dapat mencegat lalu lintas atau membuat akun VPN untuk mendapatkan akses ke jaringan di belakang perangkat," Teusink seperti dikutip dari Gizmodo.

Teusink menyoroti bahwa Zyxel yang menyediakan produk jaringan ke berbagai klien dari pribadi hingga perusahaan, merupakan merek firewall populer untuk bisnis kecil dan menengah.

Perangkat VPN, seperti USG Zyxel, sering digunakan sebagai firewall atau VPN gateway.

Sementara, Zyxel mengatakan, akun-akun yang terekspos memang dirancang untuk mengirimkan pembaruan firmware otomatis ke titik akses yang terhubung melalui file transfer protocol (FTP).

Oleh karenanya, perusahaan meminta agar pelanggannya menginstal pembaruan yang telah disediakan.

Dalam wawancara dengan ZDNet, peneliti keamanan IoT Ankit Anubhav mengatakan Zyxel seharusnya belajar dari kejadian pada 2016. Kala itu, perangkat Zyxel yang dirilis berisi mekanisme “pintu belakang” rahasia yang memungkinkan siapa pun untuk meningkatkan akun apa pun di perangkat Zyxel ke level root dengan menggunakan sandi "zyad5001" SU (super user).

Menurut Anubhav, kerentanan pada 2016 (CVE-2016-10401) masih menjadi target serangan botnet IoT berbasis serangan sandi. Kondisi ini semakin buruk dengan kerentanan terbaru (CVE-2020-29583).

Mekanisme backdoor paa 2016 yaitu penyerang terlebih dahulu memiliki akses ke akun dengan hak istimewa di perangkat Zyxel, sehingga mereka dapat meningkatkannya ke root.

Sementara, pada mekanisme sekarang, peneliti menyebutnya “lebih buruk” lagi karena penyerang dapat akses langsung ke perangkat tanpa syarat khusus.

"Ini butuh keahlian rendah karena seseorang dapat langsung mencoba kredensial di panel yang dihosting di port 443," ujar Anubhav.

Tak hanya Zyxel, cacat keamanan di perangkat Pulse Secure, Fortinet, Citrix, MobileIron, dan Cisco sering dimanfaatkan untuk menyerang perusahaan dan jaringan pemerintah.

Kerentanan ini menjadi salah satu masalah besar karena kerentanan di firewall dan VPN gateway menjadi salah satu sumber utama serangan ransomware dan operasi spionase dunia maya pada sepanjang 2019 dan 2020.[]

Redaktur: Andi Nugroho