Eksploitasi zero-day adalah vektor serangan siber atau teknik yang memanfaatkan kelemahan keamanan yang tidak diketahui atau belum ditangani pada perangkat lunak, perangkat keras, atau firmware komputer. 'Zero day' mengacu pada fakta bahwa perangkat lunak atau vendor perangkat memiliki nol hari atau nol waktu, untuk memperbaiki kelemahan itu, karena pelaku kejahatan dapat menggunakannya untuk mengakses sistem yang rentan.
Kerentanan yang tidak diketahui atau belum diatasi disebut sebagai kerentanan zero-day atau ancaman zero-day. Serangan zero-day adalah ketika pelaku kejahatan menggunakan eksploitasi zero-day untuk menanamkan malware, mencuri data, atau menyebabkan kerusakan pada pengguna, organisasi, atau sistem.
Sebuah konsep yang mirip namun berbeda,malware zero day, adalah virus atau bentuk lain dari malware yang tanda tangannya belum diketahui atau belum tersedia, sehingga tidak dapat dideteksi oleh sebagian besar solusi perangkat lunak antivirus atau teknologi deteksi ancaman berbasis tanda tangan lainnya.
Tim X-Force threat intelligence IBM telah mencatat 7.327 kerentanan zero-day sejak tahun 1988. Meskipun angka ini hanyalah tiga persen dari seluruh kerentanan keamanan yang pernah dicatat, kerentanan zero-day, khususnya pada sistem operasi atau perangkat komputer yang banyak digunakan, adalah risiko keamanan yang paling berbahaya, karena mengekspos sejumlah besar pengguna atau seluruh organisasi pada kejahatan siber hingga vendor atau komunitas keamanan siber mengidentifikasi masalah dan merilis solusi.
Kerentanan zero-day ada pada versi sistem operasi, aplikasi, atau perangkat sejak dirilis, tetapi vendor perangkat lunak atau produsen perangkat keras tidak mengetahuinya. Kerentanan tersebut dapat tidak terdeteksi selama beberapa hari, bulan, atau tahun hingga seseorang menemukannya.
Pada skenario terbaik, peneliti keamanan atau pengembang perangkat lunak menemukan kelemahan itu sebelum pelaku kejahatan. Namun terkadang, peretas menemukan kerentanan itu terlebih dahulu.
Terlepas dari siapa yang menemukannya, kelemahan itu biasanya akan segera diketahui oleh umum. Vendor dan profesional keamanan biasanya akan memberi tahu pelanggan agar berhati-hati. Peretas mungkin menyebarkan ancaman di kalangan mereka sendiri, dan peneliti mengetahuinya saat memperhatikan aktivitas penjahat siber. Beberapa vendor mungkin menyimpan rahasia kerentanan hingga mereka mengembangkan pembaruan perangkat lunak atau perbaikan lain, tetapi hal ini menjadi pertaruhan, jika peretas menemukan kelemahan sebelum vendor memperbaikinya, organisasi dapat menjadi lengah.
Pengetahuan akan kelemahan zero-day baru memicu perlombaan antara profesional keamanan yang memperbaikinya dan peretas yang mengembangkan eksploitasi zero-day dengan memanfaatkan kerentanan untuk membobol sistem. Setelah peretas mengembangkan eksploitasi zero-day yang dapat berfungsi, mereka akan menggunakannya untuk melakukan serangan siber.
Peretas seringkali mengembangkan eksploitasi lebih cepat dibandingkan tim keamanan yang mengembangkan perbaikan. Berdasarkan perkiraan (tautan berada di luar ibm.com), eksploitasi biasanya tersedia 14 hari setelah kerentanan diketahui. Tetapi, setelah serangan zero-day dimulai, perbaikan biasanya tersedia hanya dalam beberapa hari. Hal ini terjadi karena vendor dapat menggunakan informasi dari serangan untuk mengetahui kelemahan yang perlu diperbaiki. Maka, meskipun kerentanan zero-day itu berbahaya, peretas biasanya tidak bisa mengeksploitasinya dalam waktu yang lama.
Stuxnet adalah worm komputer canggih yang mengeksploitasi empat kerentanan perangkat lunak zero-day yang berbeda di sistem operasi Microsoft Windows. Pada tahun 2010, Stuxnet digunakan dalam serangkaian serangan fasilitas Nuklir di Iran. Setelah worm membobol sistem komputer pembangkit nuklir, program ini mengirimkan perintah berbahaya ke sentrifugal yang digunakan untuk memperkaya uranium. Perintah tersebut menyebabkan sentrifugal berputar sangat cepat hingga rusak. Totalnya, Stuxnet telah merusak 1.000 sentrifugal.
Peneliti percaya bahwa pemerintah AS dan Israel bekerja sama untuk membangun Stuxnet, tetapi rumor ini belum dikonfirmasi.
Log4Shell adalah kerentanan zero-day dalam Log4J, yaitu perpustakaan Java sumber terbuka yang digunakan untuk pencatatan pesan kesalahan. Peretas dapat menggunakan kelemahan Log4Shell untuk mengontrol hampir semua perangkat yang menjalankan aplikasi Java secara jarak jauh. Karena Log4J digunakan dalam program-program populer seperti Apple iCloud dan Minecraft, ratusan juta perangkat berada dalam risiko. Database Kerentanan dan Eksposur Umum (CVE) MITRE memberi Log4Shell skor risiko tertinggi, 10 dari 10.
Kelemahan Log4Shell telah ada sejak tahun 2013 namun peretas baru mulai mengeksploitasinya pada tahun 2021. Kerentanan itu diperbaiki segera setelah ditemukan, tetapi peneliti keamanan mendeteksi lebih dari 100 serangan Log4Shell per menit pada puncaknya. (tautan berada di luar ibm.com).
Pada awal tahun 2022, peretas Korea Utara mengeksploitasi kerentanan eksekusi kode jarak jauh zero-day pada browser web Google Chrome. Peretas menggunakan email phishing untuk mengirimkan situs palsu pada korban, yang menggunakan kerentanan Chrome untuk menginstal spyware dan malware akses jarak jauh pada mesin korbannya. Kerentanan itu diperbaiki setelah ditemukan, tetapi peretas menutupi jejaknya dengan baik dan peneliti tidak tahu tepatnya data apa yang dicuri.
Serangan zero-day adalah salah satu ancaman siber yang paling sulit untuk diatasi. Peretas dapat mengeksploitasi kerentanan zero-day bahkan sebelum targetnya sadar, memungkinkan para pelaku menyusup ke dalam jaringan tanpa terdeteksi.
Bahkan jika kerentanan telah diketahui umum, penyedia perangkat lunak mungkin masih memerlukan waktu sebelum dapat merilis perbaikan, sehingga organisasi tetap terekspos.
Beberapa tahun terakhir, peretas telah mengeksploitasi kerentanan zero-day lebih sering. Laporan Mandiant tahun 2022 menemukan bahwa ada lebih banyak kerentanan zero-day yang dieksploitasi hanya pada tahun 2021 dibandingkan gabungan tahun 2018-2020 (tautan berada di luar ibm.com).
Meningkatnya serangan zero-day kemungkinan besar disebabkan oleh fakta bahwa jaringan perusahaan berkembang menjadi lebih kompleks. Saat ini, organisasi bergantung pada gabungan aplikasi cloud dan on premises, perangkat milik perusahaan dan milik karyawan, dan Internet of Things (IoT), serta perangkat teknologi operasional (OT). Semua hal tersebut memperluas ukuran permukaan serangan organisasi, dan kerentanan zero-day dapat mengintai di dalamnya.
Karena kelemahan zero-day menawarkan kesempatan berharga bagi peretas, penjahat siber kini menjual kerentanan zero-day dan eksploitasi zero-day di pasar gelap dengan harga yang mahal. Misalnya, pada tahun 2020, peretas menjual zero-day Zoom sebesar USD 500.000 (tautan berada di luar ibm.com).
Pelaku tingkat negara juga dikenal sering mencari kelemahan zero-day. Banyak dari mereka memilih untuk tidak mengungkap zero-day yang mereka temukan, tetapi menciptakan eksploitasi zero-day rahasia mereka sendiri untuk digunakan melawan musuh. Banyak vendor dan peneliti keamanan telah mengkritik praktik ini, dengan menganggap hal ini membahayakan organisasi.
Tim keamanan seringkali dirugikan oleh kerentanan zero-day. Karena kelemahan ini tidak diketahui dan belum diperbaiki, organisasi tidak dapat memasukkannya dalam manajemen risiko keamanan siber atau upaya mitigasi kerentanan.
Meskipun demikian, ada langkah yang dapat dilakukan perusahaan untuk mengungkap lebih banyak kerentanan dan mengurangi dampak serangan zero-day.
Manajemen tambalan: Vendor bergegas untuk melakukan tambalan keamanan segera setelah mengetahui adanya zero-day, tetapi banyak organisasi yang gagal menerapkan tambalan dengan cepat. Program manajemen tambalan formal dapat membantu tim keamanan untuk terus mengendalikan tambalan penting ini.
Manajemen kerentanan: Penilaian kerentanan dan uji penetrasi mendalam dapat membantu perusahaan dalam menemukan kerentanan zero-day dalam sistem mereka sebelum peretas.
Manajemen permukaan serangan (ASM): Alat ASM memungkinkan tim keamanan untuk mengidentifikasi semua aset di jaringan dan memeriksa adanya kerentanan. Alat ASM menilai jaringan dari sudut pandang peretas, fokus pada cara pelaku ancaman mengeksploitasi aset untuk mendapatkan akses. Karena alat ASM membantu organisasi dalam melihat jaringan melalui sudut pandang peretas, mereka dapat mengungkap kerentanan zero-day.
Umpan intelijen ancaman: Peneliti keamanan seringkali adalah yang pertama menandai kerentanan zero-day. Organisasi yang terus memperbarui informasi intelijen ancaman eksternal kemungkinan akan lebih cepat mengetahui kerentanan zero-day.
Metode deteksi berbasis anomali: Malware zero-day dapat menghindari metode deteksi berbasis tanda tangan, tetapi alat yang menggunakan machine learning untuk mengenali aktivitas mencurigakan secara real time seringkali dapat menangkap serangan zero-day. Solusi deteksi berbasis anomali umum termasuk analisis perilaku pengguna dan entitas (UEBA), platform deteksi dan respons yang diperluas (XDR), alat deteksi dan respons titik akhir (EDR), dan beberapa deteksi intrusi dan sistem pencegahan intrusi.
Arsitektur zero trust: Jika seorang peretas mengeksploitasi kerentanan zero-day untuk membobol ke jaringan, arsitektur zero trust dapat membatasi kerusakan. Zero trust menggunakan autentikasi terus menerus dan akses istimewa paling rendah untuk mencegah pergerakan lateral dan memblokir pelaku kejahatan yang ingin mencapai sumber daya sensitif.
Tingkatkan cyberresilence organisasi Anda dengan cepat. Kelola perluasan jejak digital Anda, ungkap IT bayangan, dan dapatkan target dengan temuan faktual yang berkorelasi yang didasarkan pada godaan musuh.
81% profesional SOC mengatakan bahwa mereka diperlambat oleh investigasi manual.1 Investigasi peringatan cepat dengan IBM Security QRadar® Suite, pilihan teknologi keamanan yang telah dimodernisasi yang menampilkan pengalaman analis terpadu yang dibangun dengan AI dan otomatisasi.
Mengadopsi program manajemen kerentanan yang mengidentifikasi, memprioritaskan, dan mengelola remediasi kelemahan, memperkuat ketahanan terhadap serangan, mempersingkat waktu remediasi, dan membantu mempertahankan kepatuhan regulasi.
Pelajari semua yang perlu Anda ketahui tentang eksploitasi zero-day dan peran penting yang mereka mainkan dalam keamanan. Disiapkan oleh Randori, sebuah perusahaan IBM.
Serangan siber adalah upaya untuk mencuri, mengekspos, mengubah, melumpuhkan, atau menghancurkan aset orang lain melalui akses tidak sah ke sistem komputer.
Manajemen kerentanan adalah penemuan berkelanjutan dan resolusi kelemahan keamanan dalam infrastruktur dan perangkat lunak TI organisasi.
Catatan kaki
1 Global Security Operations Center Study Results (PDF), dilaksanakan oleh Morning Consult dan disponsori oleh IBM, Maret 2023