Administrator sistem memiliki lebih sedikit waktu untuk menambal kerentanan keamanan yang diungkapkan daripada yang diperkirakan sebelumnya, karena laporan baru menunjukkan pelaku ancaman memindai titik akhir yang rentan dalam waktu 15 menit setelah CVE baru diungkapkan kepada publik.
Menurut Laporan Respons Insiden Unit 42 Palo Alto 2022, peretas terus-menerus memantau papan buletin vendor perangkat lunak untuk pengumuman kerentanan baru yang dapat mereka manfaatkan untuk akses awal ke jaringan perusahaan atau untuk melakukan eksekusi kode jarak jauh.
Namun, kecepatan di mana aktor ancaman mulai memindai kerentanan menempatkan administrator sistem di garis bidik saat mereka berlomba untuk menambal bug sebelum dieksploitasi.
Karena pemindaian tidak terlalu menuntut, bahkan penyerang berketerampilan rendah dapat memindai internet untuk titik akhir yang rentan dan menjual temuan mereka di pasar web gelap tempat peretas yang lebih cakap tahu cara mengeksploitasinya.
Kemudian, dalam beberapa jam, upaya eksploitasi aktif pertama diamati, sering kali mengenai sistem yang tidak pernah memiliki kesempatan untuk ditambal.
Unit 42 menyajikan CVE-2022-1388 sebagai contoh, kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi yang kritis yang berdampak pada produk F5 BIG-IP.
Cacat itu terungkap pada 4 Mei 2022, dan menurut Unit 42, dalam waktu sepuluh jam sejak pengumuman CVE, mereka telah mencatat 2.552 upaya pemindaian dan eksploitasi.
Ini adalah perlombaan antara pembela dan aktor jahat, dan margin untuk penundaan di kedua sisi berkurang setiap tahun yang berlalu.
Berdasarkan data yang dikumpulkan oleh Palo Alto, kerentanan yang paling banyak dieksploitasi untuk akses jaringan di Semester 1 2022 adalah rantai eksploitasi “ProxyShell”, yang menyumbang 55% dari total insiden eksploitasi yang tercatat. ProxyShell adalah serangan yang dieksploitasi dengan menyatukan tiga kerentanan yang dilacak sebagai CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207.
Log4Shell mengikuti di tempat kedua dengan 14%, berbagai CVE SonicWall menyumbang 7%, ProxyLogon memiliki 5%, sedangkan RCE di Zoho ManageEngine ADSelfService Plus dieksploitasi dalam 3% kasus.
Seperti yang terlihat dari statistik ini, bagian terbesar dalam volume eksploitasi ditangkap oleh kelemahan semi-lama dan bukan yang terbaru.
Sistem yang lebih berharga dan terlindungi lebih baik yang adminnya cepat menerapkan pembaruan keamanan ditargetkan dengan zero-days atau serangan yang terungkap segera setelah pengungkapan kelemahan.
Perlu juga dicatat bahwa menurut Unit 42, mengeksploitasi kerentanan perangkat lunak untuk pelanggaran jaringan awal menyumbang sekitar sepertiga dari metode yang digunakan.
Dalam 37% kasus, phishing adalah cara yang lebih disukai untuk mencapai akses awal. Pemaksaan kasar atau menggunakan kredensial yang disusupi adalah cara peretas menembus jaringan di 15% kasus.
Akhirnya, menggunakan trik rekayasa sosial terhadap karyawan istimewa atau menyuap orang dalam yang nakal untuk membantu akses jaringan sama dengan 10% dari insiden.
Dengan administrator sistem, admin jaringan, dan profesional keamanan yang sudah berada di bawah tekanan yang signifikan saat mereka mencoba untuk mengikuti ancaman keamanan terbaru dan masalah OS, kecepatan di mana pelaku ancaman menargetkan perangkat mereka hanya menambah tekanan tambahan.
Oleh karena itu, sangat penting untuk menjauhkan perangkat dari Internet jika memungkinkan, dan hanya memaparkannya melalui VPN atau gerbang keamanan lainnya. Dengan membatasi akses ke server, admin tidak hanya mengurangi risiko eksploitasi, tetapi juga memberikan waktu tambahan untuk menerapkan pembaruan keamanan sebelum kerentanan dapat ditargetkan secara internal.
Sayangnya, beberapa layanan harus diekspos secara publik, mengharuskan admin untuk memperketat keamanan sebanyak mungkin melalui daftar akses, hanya menampilkan port dan layanan yang diperlukan, dan menerapkan pembaruan secepat mungkin.
Sumber: Bleeping Computer
