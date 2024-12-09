Keamanan

Eksploitasi zero-day menggarisbawahi meningkatnya risiko untuk antarmuka yang menghadap ke internet

Seorang pria bekerja di komputer dalam kegelapan

Penyusun

Jonathan Reed

Freelance Technology Writer

Laporan terbaru mengonfirmasi eksploitasi aktif kerentanan zero-day penting yang menargetkan antarmuka manajemen Next-Generation Firewalls (NGFW) Palo Alto Networks. Meskipun saran cepat dari Palo Alto dan panduan mitigasinya memberikan titik awal untuk melakukan remediasi, implikasi yang lebih luas dari kerentanan semacam ini menuntut perhatian dari organisasi di seluruh dunia.

Lonjakan serangan pada antarmuka manajemen yang menghadap ke internet menyoroti lingkungan ancaman yang berkembang dan mengharuskan memikirkan kembali bagaimana organisasi mengamankan aset penting.

Siapa yang mengeksploitasi NGFW zero-day?

Sampai saat ini, hanya sedikit yang diketahui tentang aktor di balik eksploitasi aktif Palo Alto NGFW zero-day. Palo Alto telah mengamati serangan terhadap sejumlah antarmuka manajemen yang terpapar internet, tetapi asal-usul kampanye ini masih dalam penyelidikan.

Spekulasi tentang keterlibatan kelompok-kelompok yang disponsori oleh negara atau yang bermotif keuangan masih terus berlanjut, mengingat target-target bernilai tinggi yang biasanya terkait dengan kerentanan semacam itu. Para peneliti telah mencatat referensi tentang penyalahgunaan terkait yang dijual di forum dark web, menunjukkan jangkauan ancaman ini yang berpotensi lebih luas.

Buletin industri

Berita teknologi terbaru, didukung oleh insight dari pakar

Tetap terinformasi tentang tren industri yang paling penting—dan menarik—tentang AI, otomatisasi, data, dan di luarnya dengan buletin Think. Lihat Pernyataan Privasi IBM®.

Terima kasih! Anda telah berlangganan.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

Tren dalam antarmuka manajemen penargetan

Penyerang semakin memanfaatkan taktik canggih, techniques dan prosedur (TTPs) untuk mengompromikan antarmuka manajemen yang terpapar internet, seringkali melewati pertahanan tradisional. Antarmuka ini, yang menyediakan kontrol administratif atas infrastruktur penting, adalah target yang menguntungkan bagi musuh yang ingin mendapatkan akses tidak sah, memanipulasi konfigurasi, atau mengeksploitasi kerentanan eskalasi hak istimewa.

Data terbaru menunjukkan tren yang mengkhawatirkan: Penjahat siber menjadi mahir dalam mengidentifikasi dan mengeksploitasi kelemahan-kelemahan tersebut, terutama dalam skenario di mana organisasi gagal mematuhi praktik-praktik terbaik. Penemuan Palo Alto NGFW zero-day menambah daftar kerentanan yang terus berkembang yang dieksploitasi secara aktif untuk menargetkan titik masuk bernilai tinggi ini.

Mixture of Experts | 12 Desember, episode 85

Decoding AI: Rangkuman Berita Mingguan

Bergabunglah dengan panel insinyur, peneliti, pemimpin produk, dan sosok kelas dunia lainnya selagi mereka mengupas tuntas tentang AI untuk menghadirkan berita dan insight terbaru seputar AI.
Tonton semua episode Mixture of Experts

Mitigasi risiko: Apa yang berhasil dan apa yang tidak berhasil

Ketika Palo Alto Networks bekerja pada patch dan pembaruan pencegahan ancaman, organisasi harus bertindak tegas untuk membatasi paparan mereka. Secara historis, mengamankan antarmuka manajemen telah mengandalkan kombinasi langkah-langkah dasar:

  1. Membatasi akses ke IP yang terpercaya
    Hal ini tetap menjadi landasan untuk membatasi paparan.     Dengan mengizinkan akses hanya dari alamat IP internal tertentu yang tepercaya, organisasi dapat secara signifikan mengurangi risiko akses yang tidak sah. Palo Alto dan pakar keamanan siber lainnya menekankan langkah ini sebagai solusi sementara yang paling efektif.
  2. Segmentasi jaringan dan penggunaan jump server 
    Mengisolasi antarmuka manajemen dari akses internet langsung dan merutekan lalu lintas administratif melalui jump box yang aman menambah lapisan perlindungan yang penting. Penyerang akan membutuhkan akses istimewa ke kotak lompat untuk melanjutkan lebih jauh, membuat eksploitasi jauh lebih menantang.
  3. Deteksi dan pencegahan ancaman
    Memanfaatkan intelijen ancaman dan alat pencegahan, seperti sistem deteksi intrusi dan firewall yang dikonfigurasi untuk memblokir tanda tangan serangan yang diketahui, dapat memberikan perlindungan real-time terhadap ancaman yang muncul.
  4. Autentikasi multifaktor (MFA)
    Menegakkan MFA untuk akses administratif membantu mengurangi risiko, bahkan jika kredensial login disusupi.

Namun, beberapa pendekatan tradisional terbukti tidak cukup dalam menghadapi metode serangan yang canggih:

  • Pembatasan IP statis saja: Meskipun pembatasan IP sangat penting, pembatasan tersebut dapat dirusak jika penyerang mengompromikan IP tepercaya atau mengeksploitasi kerentanan lain dalam jaringan yang sama.
  • Perangkat lunak dan sistem lama yang sudah ketinggalan zaman: Banyak organisasi masih mengoperasikan sistem lama tanpa dukungan kuat untuk fitur keamanan modern. Sistem ini seringkali merupakan mata rantai terlemah dalam bertahan melawan TTP tingkat lanjut.
  • Ketergantungan berlebihan pada pertahanan perimeter: Hanya mengandalkan pertahanan perimeter, seperti firewall, tanpa menerapkan prinsip zero trust, meninggalkan celah yang dapat dieksploitasi penyerang.

Manajemen paparan ancaman

Penanganan paparan lebih dari sekadar menambal dan melakukan tindakan pengerasan dasar. Organisasi harus mengadopsi pendekatan proaktif untuk mengidentifikasi dan memperbaiki potensi kerentanan:

  • Penemuan aset dan pemindaian berkelanjutan: Pemindaian rutin untuk deteksi antarmuka yang menghadap ke internet dan memetakan permukaan serangan sangat penting. Misalnya, organisasi dapat menggunakan alat pemindaian untuk mengidentifikasi kesalahan konfigurasi atau antarmuka yang tidak sengaja terpapar ke internet.
  • Manajemen kerentanan: Tidak semua kerentanan memiliki tingkat risiko yang sama. Kelemahan penting seperti bypass otentikasi atau kelemahan eksekusi kode jarak jauh harus diutamakan dalam upaya remediasi.
  • Kesiapan tanggap insiden: Mengingat kecepatan eksploitasi yang diamati dengan zero-days, memiliki rencana tanggap insiden yang kuat memastikan penahanan dan pemulihan yang cepat jika terjadi pelanggaran.

Pelajaran untuk organisasi

Eksploitasi antarmuka manajemen yang menghadap ke internet berfungsi sebagai pengingat nyata tentang pentingnya langkah-langkah keamanan proaktif. Sementara vendor seperti Palo Alto Networks mengatasi kerentanan melalui patch, organisasi harus mengambil langkah segera untuk mengurangi permukaan serangan mereka. Membatasi akses, menerapkan pertahanan berlapis, dan mengadopsi praktik manajemen paparan ancaman yang berkelanjutan sangat penting untuk tetap berada di depan musuh.