CISA (Cybersecurity & Infrastructure Security Agency) pada April 2022 merilis laporan tentang "2021 Top Routinely Exploited Vulnerabilities " atau kerentanan pada system yang sering di exploitasi pada 2021 (selengkapnya bisa dibaca disini) . Setidaknya CISA merilis dalam laporannya ada 15 kerentanan yang paling sering di exploitasi oleh para attacker baik yang sifatnya Remote Code Execution/RCE (attacker dengan satu progam eksploitasi bisa mengambil alih sistem yang rentan tersebut) sampai yang sifat nya privilege escalation (attacker yang sudah masuk kedalam mesin bisa mengubah status nya dari user biasa ke user dengan privilege yang lebih tinggi, misal administrator).
Ada beberapa kerentatan terkenal yang masuk dalam list ini, seperti Log4Shell (Apache Log4j / CVE-2021-44228 ), ProxyLogon dan ProxyShell ( Microsoft Exchange Server) sampai ke ZeroLogon (CVE-2020-1472) . Tiga kerentanan diatas termasuk kerentanan dengan nilai CVSS yang cukup tinggi. Meskipun laporan ini menuliskan tentang kerentanan yang sering di exploitasi pada tahun 2021, tapi ada beberapa kerentanan yang ditemukan sebelum tahun 2021 yang masih tetap di exploitasi oleh threat actor, seperti CVE-2020-1472, CVE-2018-13379, dan CVE-2019-11510. Artinya, masih banyak organisasi yang belum melakukan patching (update perbaikan) pada system mereka sehingga membuat para threat actor masih aktif melakukan explotasi pada kerentanan ini. Seharusnya melakukan patching bukanlah pekerjaan yang sulit. Beberapa vendor yang memproduksi software dengan kerentanan tersebut sudah mengeluarkan rilis patching untuk mengatasi kerentanan itu. Perusahaan atau organisasi hanya perlu melakukan update agar system nya tidak lagi bisa di exploitasi. Waktu dan biaya yang diperlukan untuk melakukan updating system jauh lebih murah daripada resiko yang harus mereka hadapi jika system mereka di exploitasi oleh para threat actor. Mulai dari ancaman serangan ransomware sampai adanya potensi data breach. Sebagai tambahan informasi, hampir semua program atau script yang diperlukan untuk melakukan exploitasi-exploitasi pada kerentanan tersebut sudah banyak beredar di beberapa website yang bebas untuk diunduh seperti Github, dimana semua orang bisa mengaksesnya dengan bebas. Jadi tidak perlu harus menjadi advance threat actor untuk melakukan exploitasi ini. Seorang script kiddie dengan laptop dan jaringan internet ditanganya pun sudah mampu untuk melakukan exploitasi ini.
Potensi Serangan Cyber di Indonesia berdasarkan Shodan
Berdasarkan data dari Shodan, ada lebih dari 2,5 juta perangkat terkoneksi internet di Indonesia. Baik itu perangkat yang berbentuk computer server, sampai IP Camera. Lalu apakah ada dari perangkat-perangkat tersebut yang memiliki kerentanan ? Shodan memiliki fitur query untuk mecari perangkat yang memiliki kerentanan. Walaupun tingkat akurasinya mungkin tidak tinggi karena masih perlu di validasi. Shodan mendeteksi kerentanan berdasarkan metadata yang ada pada perangkat terknonesi tersebut dan mencocokannya dengan database metadata yang ada untuk meilihat apakah perangkat dengan metadata ini memiliki kerentanan atau tidak.
Dari gambar diatas, kita bisa melihat bahwa ada lebih dari 6000 perangkat yang memiliki kerentanan di Indonesia. Beberapa kerentanan tersebut adalah kerentanan yang sifatnya kritikal. Seperti MS15-034, Bluekeep (CVE-2019-0708) dan SMBGhost (CVE-2020-0796). Walaupu ketigaya tidak masuk Top 15 vulnerabilities dari CISA, tapi bukan berati tidak ada yang tertarik untuk melakukan exploitasi. Apalagi script atau tools untuk exploitasi nya sudah banyak di keluarkan bahkan sudah ada dalam module Metasploit. Dan yang paling mengejutkan adalah masih adanya perangkat di Indonesia yang memiliki kerentanan MS17-010. Tentu kita masih ingat ransomware Wanacry yang menyebar dengan dengan cepat pada tahun 2017. Wanacry ransomware sendiri memanfaatkan kelemahan MS17-010 (Eternal-Blue) untuk menginfeksi perangkat komputer lainnya. Mungkin Wanacry ransomware sendiri sekarang sudah berhenti beroperasi dan semua antivirus sudah bisa mendeteksi ransomware ini, tapi bukan berarti tidak ada threat actor lain yang bisa memanfaatkan kelemahan ini untuk melakukan serangan cyber pada perangkat yang belum dilakukan update perbaikan.
Lalu ada berapa Top 15 Vulnerabilities dari CISA yang terdeteksi ada di Indonesia ? sejauh ini hanya ada ProxyLogon dan ProxyShell. Jumlahnya pun tidak banyak , hanya sekitar 100. Tapi bukan berarti jumlah yang tidak banyak ini tidak bisa menimbulkan efek destructive. Dalam dunia hacking kita mengenal terminology Lateral Movement, dimana jika ada attacker yang sudah berhasil masuk kedalam satu perangkat, maka dia akan berfikir untuk bagaimana menginfeksi perangkat lainnya, baik itu yang terhubung lewat jaringan internal (LAN) atau lewat email/social media dengan mengirimkan malware ke akun lainnya yang terhubung (misal Emotet). Jadi satu perangkat yang rentan, bisa jadi pintu masuk untuk exploitasi bagi perangkat lainnya.
Maka dari itu penting untuk pemilih organisasi atau perusahaan untuk aktif memonitor perangkat-perangkat terkoneksi internet yang mereka miliki. Update jika ditemukan ada kerentanan. Jangan sampai kelengahan kita melakukan monitoring asset atau updating, bisa berakibat pada serangan cyber yang bisa merugikan perusahaan atau organisasi kita.
