Kerentanan Kritikal Ivanti vTM Diakali Peretas



Kerentanan Kritikal Ivanti vTM Diakali Peretas - credit for: bleepingcomputer - pibitek.biz - Risiko

credit for: bleepingcomputer


336-280
TL;DR
  • Ivanti vTM rentan terhadap serangan siber karena kerentanan keamanan serius.
  • CISA memasukkan kerentanan Ivanti vTM ke dalam katalog Kerentanan yang Dikenal Eksploitasi.
  • Ivanti harus lebih proaktif dalam menemukan dan memperbaiki kerentanan keamanan.

pibitek.biz -CISA, lembaga yang bertugas untuk melindungi infrastruktur siber di Amerika Serikat, kembali menandai kerentanan keamanan serius pada produk Ivanti, yang memungkinkan peretas untuk membuat akun administrator jahat pada perangkat Virtual Traffic Manager (vTM) yang rentan. Kerentanan ini, yang dilacak sebagai CVE-2024-7593, telah aktif dieksploitasi dalam serangan siber. Kerentanan ini disebabkan oleh implementasi algoritma otentikasi yang salah pada perangkat Ivanti vTM. Celah keamanan ini memungkinkan peretas yang tidak sah untuk melewati otentikasi pada panel administrator vTM yang terpapar internet.

Ivanti vTM sendiri merupakan pengontrol pengiriman aplikasi berbasis software (ADC) yang menyediakan keseimbangan beban dan manajemen lalu lintas untuk layanan bisnis penting. Ivanti mengeluarkan pembaruan keamanan untuk mengatasi kerentanan ini. Namun, meskipun Ivanti menyebutkan bahwa kode eksploitasi bukti konsep (PoC) telah tersedia sejak 13 Agustus, perusahaan tersebut belum memperbarui advisori keamanan untuk mengkonfirmasi eksploitasi aktif. Meskipun begitu, Ivanti menyarankan administrator untuk memeriksa log audit guna mencari pengguna admin baru seperti 'user1' atau 'user2' yang ditambahkan melalui antarmuka grafis atau kode eksploitasi yang tersedia untuk umum.

Langkah ini diambil untuk menemukan bukti kompromi pada sistem. Untuk mencegah serangan potensial dan mempersempit permukaan serangan, Ivanti juga menyarankan agar administrator membatasi akses ke antarmuka manajemen vTM dengan mengikatnya ke jaringan internal atau alamat IP pribadi. CISA, pada Selasa, memasukkan kerentanan bypass otentikasi Ivanti vTM ke dalam katalog Kerentanan yang Dikenal Eksploitasi (KEV) dan menandainya sebagai kerentanan yang sedang aktif dieksploitasi. Sebagai bagian dari Binding Operational Directive (BOD) 22-01, badan federal diharuskan untuk mengamankan perangkat yang rentan di jaringan mereka dalam waktu tiga minggu, paling lambat 15 Oktober.

Katalog KEV CISA secara khusus memperingatkan badan federal tentang kerentanan yang harus ditambal sesegera mungkin. Namun, organisasi swasta di seluruh dunia juga disarankan untuk memprioritaskan mitigasi kerentanan ini guna mencegah serangan yang sedang berlangsung. Dalam beberapa bulan terakhir, beberapa kerentanan Ivanti telah dieksploitasi sebagai zero-day dalam serangan meluas yang menargetkan perangkat VPN, ICS, IPS, dan gerbang ZTA milik perusahaan tersebut. Pada awal bulan ini, Ivanti memperingatkan bahwa para peretas juga sedang memanfaatkan dua kerentanan Cloud Services Appliance (CSA) yang baru ditambal dalam serangan yang sedang berlangsung.

Ivanti menyatakan pada bulan September bahwa mereka telah meningkatkan kemampuan pemindaian dan pengujian internal sebagai respons terhadap serangan-serangan ini. Perusahaan juga sedang berupaya untuk meningkatkan proses pengumuman yang bertanggung jawab agar dapat mengatasi masalah keamanan potensial dengan lebih cepat. Ivanti memiliki lebih dari 7.000 mitra di seluruh dunia, dan produknya digunakan oleh lebih dari 40.000 perusahaan untuk manajemen sistem dan aset TI. Sangat disayangkan, perusahaan seperti Ivanti masih memiliki celah keamanan yang serius, dan pembaruan keamanan seringkali terlambat untuk mencegah serangan yang sedang berlangsung.

Kegagalan untuk mengatasi kerentanan ini dapat mengakibatkan kompromi sistem dan kebocoran data sensitif, yang berpotensi merugikan perusahaan dan individu. Kekecewaan yang mendalam dirasakan terhadap tanggapan Ivanti yang dianggap lamban dan kurang memadai dalam mengatasi kerentanan yang ditemukan. Ketidakmampuan Ivanti untuk memberikan pembaruan keamanan yang tepat waktu serta kurangnya transparansi dalam proses pengumuman yang bertanggung jawab semakin menambah kekhawatiran. Meskipun Ivanti telah meningkatkan kemampuan pemindaian dan pengujian internal, langkah ini terkesan reaktif dan tidak menjamin terhindarnya kejadian serupa di masa depan.

Sangat memprihatinkan bahwa Ivanti masih bergantung pada upaya individual administrator untuk melindungi sistem mereka. Perusahaan ini seharusnya proaktif dalam menemukan dan mengatasi kerentanan sebelum dieksploitasi oleh peretas. Keberhasilan Ivanti dalam mengelola sistem dan aset TI perusahaan merupakan hal yang sangat penting, namun kepercayaan terhadap kemampuan mereka untuk melindungi data dan sistem klien terkikis akibat serangkaian kerentanan yang ditemukan. Serangan zero-day yang terus berulang menjadi bukti nyata ketidakmampuan Ivanti dalam mengamankan produknya.

Masih belum jelas apa dampak jangka panjang dari serangkaian kerentanan ini terhadap reputasi Ivanti. Kepercayaan pengguna terhadap produk dan layanan Ivanti terancam. Meskipun Ivanti telah menunjukkan upaya untuk memperbaiki proses pengumuman yang bertanggung jawab, keraguan tetap ada. Masa depan Ivanti dalam industri keamanan siber masih dipertanyakan. Tindakan cepat dan proaktif dalam mengatasi kerentanan sangatlah penting. Kerentanan yang tidak ditambal merupakan jalan masuk bagi peretas untuk mencuri data, melakukan sabotase, atau mengganggu operasi bisnis.

Perusahaan harus memprioritaskan keamanan sistem dan data mereka, dan berinvestasi dalam tindakan pencegahan untuk mengurangi risiko serangan siber. Ivanti harus lebih proaktif dalam menemukan dan memperbaiki kerentanan. Mereka juga perlu meningkatkan transparansi dan komunikasi dengan pengguna mereka tentang risiko keamanan. Hanya dengan cara ini mereka dapat membangun kembali kepercayaan dan menjaga keamanan sistem dan data klien mereka.