Alat transfer file IBM Aspera Faspex yang digunakan oleh puluhan organisasi besar dan bisnis memiliki bug serius yang secara aktif dieksploitasi oleh peretas jahat, menurut Cybersecurity and Infrastructure Security Agency (CISA).
CISA menambahkan bug – bernama CVE-2022-47986 – ke dalam katalog kerentanan yang diketahui dieksploitasi minggu ini bersama dengan dua bug lain yang memengaruhi platform komunikasi bisnis Mitel.
Badan itu mengatakan kerentanan IBM menimbulkan “risiko signifikan bagi perusahaan federal.” CISA mengarahkan peringatannya ke pemerintah federal, tetapi sering juga diterapkan secara luas ke sektor swasta.
Pengumuman tersebut mengikuti beberapa peringatan dari peneliti keamanan selama sebulan terakhir. IBM mengeluarkan tambalan pada 18 Januari.
Badan sipil federal memiliki waktu hingga 14 Maret untuk menambal bug tersebut, yang membawa skor CVSS 9,8 dari 10.
Bud Broomhead, CEO perusahaan keamanan siber Viakoo, mengatakan Aspera digunakan secara luas sehingga memenangkan Emmy pada tahun 2014 karena memungkinkan alur kerja produksi media yang lebih cepat karena memungkinkan perusahaan mengirim file video berukuran besar dengan cepat.
Untuk perusahaan mana pun yang mentransfer kumpulan data besar — seperti penelitian genomik dan biomedis, produksi media, intelijen sinyal militer, atau layanan keuangan — Aspera kemungkinan besar merupakan solusi masuk selama bertahun-tahun, jelas Broomhead.
Broomhead menambahkan bahwa kerentanan mudah dieksploitasi dan memungkinkan penyerang jarak jauh mengambil tindakan pada sistem tanpa harus menghindari proses otentikasi jaringan.
Pencarian di alat pemindaian internet Shodan menunjukkan 138 contoh Aspera Faspex yang terpapar ke internet. Perusahaan Cybersecurity ShadowServer juga mengonfirmasi bahwa mereka telah melihat upaya eksploitasi sejak IBM menerbitkan tambalan tersebut.
Selengkapnya: The Record
