Security advisory untuk kerentanan (CVE) yang diterbitkan oleh MITRE secara tidak sengaja telah mengekspos tautan ke konsol admin jarak jauh dari lebih dari selusin perangkat IP yang rentan setidaknya sejak April 2022.
Penasihat CVE yang diterbitkan oleh MITRE mendapatkan sindikasi kata demi kata di sejumlah besar sumber publik, umpan, situs berita infosec, dan vendor yang menyediakan data tersebut kepada pelanggan mereka.
Bagian “referensi” dari nasihat ini biasanya mencantumkan tautan ke sumber asli (tulisan, posting blog, demo PoC) yang menjelaskan kerentanan. Namun, menyertakan tautan ke sistem yang belum ditambal secara publik berpotensi memungkinkan pelaku ancaman untuk sekarang menargetkan sistem ini dan melakukan aktivitas jahat mereka.
Penasihat kerentanan yang diterbitkan oleh MITRE untuk kerentanan pengungkapan informasi dengan tingkat keparahan tinggi pada bulan April secara ironis mengungkapkan tautan ke lebih dari selusin perangkat IoT langsung yang rentan terhadap kelemahan tersebut.
Bukan hal yang aneh jika penasihat keamanan menyertakan bagian “referensi” dengan beberapa tautan yang memvalidasi keberadaan kerentanan. Namun, tautan semacam itu biasanya mengarah pada demonstrasi atau penulisan bukti konsep (PoC) yang menjelaskan kerentanan daripada sistem yang rentan itu sendiri.
Setelah kerentanan dipublikasikan, penyerang menggunakan mesin pencari IoT publik seperti Shodan atau Censys untuk memburu dan menargetkan perangkat yang rentan.
Semua ini membuat kasus yang sangat luar biasa untuk buletin keamanan publik untuk mencantumkan bukan hanya satu tetapi lokasi dari beberapa perangkat rentan yang masih terhubung ke internet.
Karena sejumlah besar sumber bergantung pada MITER dan NVD/NIST untuk menerima umpan kerentanan, penasihat CVE (dihapus di bawah) telah disindikasikan oleh beberapa vendor, sumber publik, dan layanan yang menyediakan data CVE, seperti yang diamati oleh BleepingComputer.
Mengklik salah satu tautan “referensi” di atas akan mengarahkan pengguna ke dasbor administrasi jarak jauh dari kamera IP atau perangkat video (rentan), yang berpotensi memungkinkan mereka untuk melihat umpan kamera langsung atau mengeksploitasi kerentanan.
Will Dormann, seorang analis kerentanan di Pusat Koordinasi CERT (CERT/CC) menyebut ini “hal yang tidak normal dan sangat BURUK” untuk dilakukan. Dan, peneliti keamanan Jonathan Leitschuh mengatakan hal yang sama dalam sebuah pernyataan kepada BleepingComputer.
Memang benar, penasehat CVE itu sendiri diterbitkan oleh MITRE, organisasi induk dari proyek CVE yang sering kali menjadi titik kontak pertama bagi pengguna yang melaporkan kerentanan keamanan dalam sistem pihak ketiga dan meminta pengidentifikasi CVE.
Namun, BleepingComputer menemukan bahwa sumber asli dari kesalahan tersebut adalah catatan keamanan yang diterbitkan oleh satu atau lebih peneliti keamanan China di GitHub sementara entri CVE MITRE untuk kerentanan telah “dipesan” dan menunggu produksi.
Dalam versi saran GitHub inilah beberapa tautan ke perangkat yang rentan terdaftar sebagai “contoh”. Dan informasi ini tampaknya telah disalin-tempel di entri CVE MITRE yang kemudian disindikasikan di beberapa situs:
Ironisnya, nasihat asli yang diterbitkan ke GitHub telah lama dihapus.
Perhatikan, dalam beberapa jam setelah email kami ke MITRE, saran CVE diperbarui dengan cepat untuk menghapus semua tautan “referensi” yang menunjuk ke perangkat IoT yang rentan, baik dari repo CVEProject GitHub MITRE dan database. Tetapi pembaruan ini mungkin tidak menghapus informasi ini dari sumber pihak ketiga yang telah mengambil dan menerbitkan salinan entri sebelumnya.
Sumber: Bleeping Computer
