Kaspersky mengumumkan hasil laporan Digital Footprint Intelligence (DFI) yang mencakup ancaman eksternal untuk sejumlah negara terpilih dari kawasan Asia Pasifik (APAC) pada tahun 2021, termasuk enam negara utama Asia Tenggara (SEA).
Bagian yang berkembang pesat dari pendekatan akses awal musuh adalah eksploitasi kerentanan satu hari (one-day vulnerabilities).
Dengan bantuan sumber publik dan mesin pencarian khusus, Kaspersky mengumpulkan informasi tentang 390.497 layanan yang tersedia dari jaringan publik dan menganalisisnya untuk menemukan kunci masalah keamanan dan kerentanan utama.
Analisis mengungkapkan bahwa pada tahun 2021, hampir setiap lima layanan yang rentan mengandung lebih dari satu kerentanan, sehingga meningkatkan peluang penyerang melakukan serangan yang berhasil.
Sektor industri, keuangan, kesehatan, industri, pemerintahan termasuk dalam analisis laporan, dan semua negara memiliki isu dengan penerapan pembaruan keamanan untuk layanan yang tersedia secara publik.
Institusi pemerintah (pemroses informasi pengenal pribadi (PII) utama dan penyedia layanan penting bagi masyarakat) adalah penghasil insiden potensial dengan selisih yang sangat besar.
Singapura memiliki jumlah kerentanan yang rendah dan rasio yang luar biasa rendah antara jumlah layanan dan jumlah kerentanan di dalamnya, sementara Vietnam, Indonesia, Thailand, dan Malaysia memiliki rasio tertinggi di antara negara-negara Asia Tenggara.
Dalam hal pangsa kerentanan dengan eksploitasi yang tersedia untuk umum, tiga negara dari lima peringkat teratas terletak di Asia Tenggara (SEA) – ini adalah Malaysia, Vietnam, dan Filipina.
Baca: Terkait Serangan Siber, Posisi Kemenkominfo Sebagai Pengawas PSE
Dari praktik Kaspersky dalam respons insiden yang ditangani oleh Global Emergency Response Team (GERT) dan penasihat CISA menggunakan daftar kerentanan yang terkenal untuk mengeksploitasi pertahanan organisasi. Saat meneliti masalah keamanan perusahaan dari wilayah Asia Pasifik, para ahli Kaspersky mengamati sejumlah kerentanan yang umum digunakan yang disebut ProxyShell dan ProxyLogon. Eksploitasi untuk kerentanan ini tersedia secara luas di Internet, oleh karena itu, mereka dapat dengan mudah dieksploitasi bahkan oleh penyerang dengan keterampilan rendah.
Meskipun ProxyShell cukup umum di Cina dan Vietnam, negara-negara yang paling terpengaruh oleh ProxyLogon adalah:
- Di lembaga Pemerintahan – Thailand
- Di sektor Keuangan – Cina
- Di sektor Perawatan Kesehatan – Filipina
- Di sektor Industri – Indonesia
ProxyShell adalah sekelompok kerentanan untuk server Microsoft Exchange – CVE-2021-31206, CVE-2021-31207 , CVE-2021-34473, dan CVE-2021-34523. Grup ProxyLogon mencakup CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065. Kerentanan dari kedua grup tersebut memungkinkan penyerang untuk melewati otentikasi dan mengeksekusi kode sebagai pengguna istimewa.
Pertahanan terbaik terhadap kerentanan ini adalah dengan menjaga sistem publik tetap diperbarui dengan tambalan (patches) dan versi produk terbaru. Perusahaan juga harus menghindari akses langsung menuju Exchange Server dari Internet.
Serangan brute force kredensial
Sebagian besar akses awal penyerang yang mengarah ke insiden keamanan siber terkait dengan layanan dengan akses jarak jauh atau fitur manajemen. Salah satu contoh yang paling terkenal adalah RDP (Remote Desktop Protocol). Ini adalah protokol milik Microsoft yang memungkinkan pengguna untuk terhubung ke komputer lain melalui jaringan komputer yang menjalankan Windows.
RDP banyak digunakan oleh administrator sistem dan pengguna yang less-technical untuk mengontrol server dan PC lain dari jarak jauh, tetapi alat ini juga yang dieksploitasi oleh penyusup untuk menembus komputer target yang biasanya menampung sumber daya perusahaan yang kritikal.
Tahun lalu, Kaspersky memantau 16.003 akses jarak jauh dan layanan manajemen yang tersedia untuk dieksploitasi. Indonesia, India, Bangladesh, Filipina, dan Vietnam memberikan fasilitas maksimal bagi penyerang untuk mendapatkan akses jarak jauh.
Institusi pemerintah melayani lebih dari 40% permukaan serangan untuk serangan brute force dan penggunaan kembali kebocoran kredensial.
“Jelas, pelaku kejahatan siber pantang menyerah mengungkap kemungkinan titik masuk di wilayah tersebut. Dari pemburuan perangkat lunak yang tidak ditambal, kerentanan satu hari, dan akses jarak jauh hingga layanan manajemen yang dapat dieksploitasi, pelaku kejahatan siber memiliki banyak opsi untuk menginfeksi industri yang menguntungkan. Singkatnya, serangan siber seperti bom yang berdetak. Meskipun mengkhawatirkan, laporan seperti Digital Footprint Intelligence kami dapat digunakan sebagai alat untuk memandu pengembangan kapasitas keamanan siber dari organisasi terkait. Jika Anda mengetahui kelemahan Anda, akan lebih mudah untuk memprioritaskannya,” komentar Chris Connell, Managing Director untuk Asia Pasifik di Kaspersky, dalam keterangannya, 20/09/2022.
Baca: Riset: Sektor Energi Di Indonesia Jadi Sasaran Serangan Siber Setahun Ke Depan
