Badan keamanan siber dari Australia, Inggris, dan AS pada hari Rabu (17/11/2021) merilis peringatan peringatan bersama tentang eksploitasi aktif kerentanan Fortinet dan Microsoft Exchange ProxyShell oleh aktor yang disponsori negara Iran untuk mendapatkan akses awal ke sistem yang rentan untuk kegiatan lanjutan, termasuk eksfiltrasi data dan ransomware.
Pelaku ancaman diyakini telah memanfaatkan beberapa kerentanan Fortinet FortiOS sejak Maret 2021 serta kelemahan eksekusi kode jarak jauh yang memengaruhi Microsoft Exchange Server setidaknya sejak Oktober 2021, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA), Federal Biro Investigasi (FBI), Pusat Keamanan Siber Australia (ACSC), dan Pusat Keamanan Siber Nasional Inggris (NCSC).
Badan-badan tersebut tidak mengaitkan kegiatan tersebut dengan aktor ancaman persisten lanjutan (APT) tertentu. Korban yang ditargetkan termasuk organisasi Australia dan berbagai entitas di berbagai sektor infrastruktur penting AS, seperti transportasi dan perawatan kesehatan. Daftar kelemahan yang dieksploitasi ada di bawah ini:
- CVE-2021-34473 (skor CVSS: 9.1) – kerentanan eksekusi kode jarak jauh Microsoft Exchange Server (alias “ProxyShell”)
- CVE-2020-12812 (skor CVSS: 9,8) – FortiOS SSL VPN 2FA bypass dengan mengubah kasus nama pengguna
- CVE-2019-5591 (skor CVSS: 6,5) – Konfigurasi default FortiGate tidak memverifikasi identitas server LDAP
- CVE-2018-13379 (skor CVSS: 9,8) – Kebocoran file sistem FortiOS melalui SSL VPN melalui permintaan sumber daya HTTP yang dibuat khusus
Sebagai mitigasi, agensi merekomendasikan organisasi untuk segera menambal perangkat lunak yang terpengaruh oleh kerentanan yang disebutkan di atas, menegakkan prosedur pencadangan dan pemulihan data, menerapkan segmentasi jaringan, mengamankan akun dengan otentikasi multi-faktor, dan menambal sistem operasi, perangkat lunak, dan firmware saat dan ketika pembaruan dilepaskan.
Selengkapnya: The Hacker News
