Lebih dari 15 juta layanan publik rentan terhadap setidaknya satu dari 896 kerentanan yang tercantum dalam katalog KEV (kerentanan yang dapat dieksploitasi) CISA.
Jumlah masif ini dilaporkan oleh perusahaan keamanan siber Rezilion, yang melakukan penelitian skala besar untuk mengidentifikasi sistem rentan yang terpapar serangan siber dari pelaku ancaman, baik yang disponsori negara atau geng ransomware.
Temuan Rezilion sangat mengkhawatirkan karena kerentanan yang diperiksa diketahui dan disorot dalam katalog KEV CISA sebagai dieksploitasi secara aktif oleh peretas, sehingga setiap penundaan dalam penambalan mereka mempertahankan permukaan serangan yang besar, memberikan banyak target potensial kepada pelaku ancaman.
Terkena serangan
Rezilion menggunakan layanan pemindaian web Shodan untuk menemukan titik akhir yang masih rentan terhadap penambahan CVE Katalog Kerentanan yang Dapat Dieksploitasi CISA.
Dengan menggunakan kueri penelusuran khusus ini, para peneliti menemukan 15 juta instans rentan terhadap 200 CVE dari katalog.
Lebih dari setengah dari 7 juta instans tersebut rentan terhadap salah satu dari 137 CVE terkait Microsoft Windows, menjadikan komponen ini sebagai prioritas utama bagi pembela dan target yang sangat baik bagi penyerang.
Tidak termasuk Windows, Rezilion telah mengidentifikasi sepuluh CVE teratas berikut:
Hampir setengahnya berusia di atas lima tahun, jadi kira-kira 800.000 mesin belum menerapkan pembaruan keamanan untuk jangka waktu yang signifikan.
“Secara keseluruhan, lebih dari 4,5 juta perangkat yang terhubung ke internet diidentifikasi rentan terhadap KEV yang ditemukan antara tahun 2010 dan 2020,” komentar Rezilion dalam laporan.
“Sangat memprihatinkan bahwa mesin ini tidak menambal pembaruan relevan yang diterbitkan selama bertahun-tahun meskipun tambalan telah dirilis, dan kerentanan ini diketahui dieksploitasi di alam liar.”
Beberapa CVE terkenal yang disorot dalam laporan Rezilion adalah:
- CVE-2021-40438: celah pengungkapan informasi tingkat keparahan sedang muncul di hampir 6,5 juta hasil Shodan, berdampak pada server HTTPD Apache v2.4.48 dan yang lebih lama.
- Proxyshell: serangkaian tiga kerentanan yang memengaruhi Microsoft Exchange, yang dirangkai oleh APT Iran untuk serangan eksekusi kode jarak jauh pada tahun 2021. Shodan mengembalikan 14.554 hasil hari ini.
- ProxyLogon: empat kelemahan yang berdampak pada Microsoft Exchange, yang dimanfaatkan secara ekstensif oleh peretas Rusia pada tahun 2021 terhadap infrastruktur AS. Masih ada 4.990 sistem yang rentan terhadap ProxyLogon, menurut Shodan, dengan 584 berlokasi di AS
- HeartBleed (CVE-2014-0160): cacat dengan tingkat keparahan sedang yang memengaruhi OpenSSL, memungkinkan penyerang membocorkan informasi sensitif dari memori proses. Shodan mengatakan 190.446 kekalahan masih rentan terhadap kelemahan ini.
Selain itu, untuk CVE-2021-40438, jumlah besar tersebut sesuai dengan jumlah situs web/layanan yang berjalan di Apache, bukan perangkat individual, karena banyak situs web dapat dihosting di satu server.
Penting juga untuk digarisbawahi bahwa perkiraan titik akhir terbuka 15 juta Rezilion adalah konservatif, hanya berisi non-duplikat dan juga mengabaikan kasus-kasus yang peneliti tidak dapat menemukan kueri yang mempersempit versi produk.
Rezilion juga memberi tahu BleepingComputer bahwa mereka tidak hanya mengandalkan penelusuran Shodan CVE bawaan untuk penelitian mereka, tetapi juga membuat kueri penelusuran khusus yang menentukan versi perangkat lunak yang berjalan di perangkat.
“Untuk beberapa kerentanan, kami memiliki tag bawaan Shodan, tetapi sebagian besar kami melakukan analisis kami sendiri yang mencakup mengidentifikasi versi rentan spesifik untuk setiap produk yang terpengaruh dan merancang kueri shodan spesifik yang akan memungkinkan kami mengidentifikasi indikasi versi ini dalam metadata yang dapat dilihat oleh Shodan,” jelas Direktur Riset Kerentanan Rezilion, Yotam Perkal, kepada BleepingComputer.
Upaya eksploitasi
Paparan adalah satu hal, tetapi minat dari peretas adalah hal lain, dan untuk menjawab ini, Rezilion menggunakan data dari Suara abu-abu yang memantau dan mengkategorikan upaya eksploitasi kerentanan.
Di bagian atas daftar dengan kelemahan yang paling banyak dieksploitasi adalah CVE-2022-26134, memiliki 1.421 hasil di GreyNoise, dan 816 upaya eksploitasi dalam sebulan terakhir.
Celah kritis-keparahan di Atlassian Confluence Server dan Pusat Data ini memungkinkan penyerang jarak jauh untuk mengeksekusi ekspresi Bahasa Navigasi Object-Graph pada instans yang rentan.
Kelemahan lain yang berperingkat tinggi dalam daftar termasuk CVE-2018-13379, file arbitrer pra-otentikasi yang dibaca berdampak pada perangkat FortiOS, yang memiliki 331 hasil pada GreyNoise, dan Log4Shell, yang buruk bug eksekusi kode di Log4J2 yang memiliki 66 upaya eksploitasi dalam sebulan terakhir.
Menambal semua kekurangan di lingkungan Anda adalah solusi nyata untuk risiko ini,
Namun, jika ini adalah tugas yang rumit untuk organisasi Anda, memprioritaskan kelemahan kritis di lingkungan Anda atau mengamankannya di belakang firewall harus menjadi cara yang tepat.
Rezilion mengatakan bahwa kekurangan pada Microsoft Windows, Adobe Flash Player, Internet Explorer, Google Chrome, Microsoft Office, dan Win32k merupakan seperempat dari katalog KEV CISA, jadi produk tersebut akan menjadi titik awal yang baik.
