Fortinet, perusahaan keamanan jaringan asal Amerika Serikat, menyebut ada serangan siber yang aktif mengeksploitasi kerentanan para produk sistem keamanannya, FortiOS SSL-VPN. Padahal, perusahaan telah merilis tambalan untuk kerentanan ini bulan lalu.
Bug keamanan yang dilabeli CVE-2022-42475 itu berupa kelemahan buffer overflow berbasis heap yang memungkinkan peretas tak terautentikasi menjalankan kode arbitrer atau perintah khusus di perangkat target dari jarak jauh, tulis perusahaan di situsweb Fortiguard diakses Senin (16 Januari 2023).
Sementara itu, laporan media keamanan siber, BleepingComputer, menyebutkan, Fortinet diam-diam menambal bug pada 28 November 2022 untuk perangkat FortiOS 7.2.3; mirisnya perusahaan tak merilis informasi bahwa itu kategori zero-day (kerentanan yang tak diketahui sebelumnya). Lalu, pada pertengahan Desember, perusahaan menyuruh para pelanggannya untuk menginstal pembaruan keamanan karena serangan terhadap bug itu sedang berlangsung.
"Pelanggan diberi tahu secara pribadi tentang bug tersebut pada 7 Desember melalui TLP:Amber advisory," tulis BleepingComputer. Ada pun perusahaan baru merilis lanjutan tentang kerentanan kepada publik pada tanggal 12 Desember, termasuk memperingatkan bahwa peretas anonim sedang aktif mengeksploitasinya.
Di blog perusahaan, Fortinet mengatakan bahwa serangan terhadap bug tersebut lebih ditargetkan pada pelanggan pemerintah dan organisasi besar. "Rumitnya exploit menunjukkan pelakunya canggih dan serangan ditargetkan pada pemerintah atau yang terkait dengan pemerintah," kata perusahaan.
Hasil investigasi tim menemukan sampel peranti lunak jahat (malware) di jaringan yang terinfeksi. Malware tersebut berupa "varian dari Linux generik yang dikustom untuk FortiOS."
Kode yang mencurigakan ditemukan di /data/lib/libips.bak. File ini, menurut Fortinet, tampaknya menyamar sebagai komponen Intrusion Prevention System (IPS) Engine yang berlokasi di /data/lib/libips.so. IPS Engine didesain untuk mendeteksi ancaman melalui pemantauan trafik jaringan secara terus-menerus dan akan memblokir aktivitas yang membahayakan.
"Kami menemukan bahwa penyerang menggunakan kemampuan canggih untuk memanipulasi logging FortiOS," katanya. Salah satunya, malware mampu menambal proses logging FortiOS untuk memanipulasi log guna menghindari deteksi. Bahkan, malware juga mampu mematikan proses logging.
Fortinet menemukan artefak mencurigakan dalam sistem file di perangkat yang terinfeksi:
- /data/lib/libips.bak
- /data/lib/libgif.so
- /data/lib/libiptcp.so
- /data/lib/libipudp.so
- /data/lib/libjepg.so
- /var/.sslvpnconfigbk
- /data/etc/wxd.conf
- /flash
Sementara itu, koneksi ke alamat IP yang diduga dipakai peretas:
- 188.34.130.40:444
- 103.131.189.143:30080,30081,30443,20443
- 193.36.119.61:8443,444
- 172.247.168.153:8033
- 139.180.184.197
- 66.42.91.32
- 158.247.221.101
- 107.148.27.117
- 139.180.128.142
- 155.138.224.122
- 185.174.136.20
Produk yang terpengaruh kerentanan tersebut, antara lain:
- FortiOS versi 7.2.0 hingga 7.2.2
- FortiOS versi 7.0.0 hingga 7.0.8
- FortiOS versi 6.4.0 hingga 6.4.10
- FortiOS versi 6.2.0 hingga 6.2.11
- FortiOS versi 6.0.0 hingga 6.0.15
- FortiOS versi 5.6.0 hingga 5.6.14
- FortiOS versi 5.4.0 hingga 5.4.13
- FortiOS versi 5.2.0 hingga 5.2.15
- FortiOS versi 5.0.0 hingga 5.0.14
- FortiOS-6K7K versi 7.0.0 hingga 7.0.7
- FortiOS-6K7K versi 6.4.0 hingga 6.4.9
- FortiOS-6K7K versi 6.2.0 hingga 6.2.11
- FortiOS-6K7K versi 6.0.0 hingga 6.0.14
- FortiProxy versi 7.2.0 hingga 7.2.1
- FortiProxy versi 7.0.0 hingga 7.0.7
- FortiProxy versi 2.0.0 hingga 2.0 .11
- FortiProxy versi 1.2.0 hingga
- 1.2.13 FortiProxy versi 1.1.0 hingga 1.1.6
- FortiProxy versi 1.0.0 hingga 1.0.7
Perusahaan pun memberikan solusi untuk instal pembaruan versi terbaru, antara lain:
- FortiOS versi 7.2.3 atau lebih
- FortiOS versi 7.0.9 atau lebih Tinggi
- FortiOS versi 6.4.11 atau lebih Tinggi
- FortiOS versi 6.2.12 atau lebih Tinggi
- FortiOS versi 6.0.16 atau lebih tinggi
- FortiOS-6K7K mendatang versi 7.0.8 atau lebih tinggi
- FortiOS-6K7K versi 6.4.10 atau lebih tinggi
- FortiOS-6K7K versi 6.2.12 atau lebih tinggi
- FortiOS-6K7K versi 6.0.15 atau lebih tinggi
- FortiProxy versi 7.2.2 atau lebih
- FortiProxy versi 7.0.8 atau lebih
- FortiProxy mendatang 2.0.12 atau lebih tinggi.
Comments
Post a Comment