Kerentanan Lama Sumber Masalah IoT

Selalu tambal perangkat IoT Anda dan ganti setelah perangkat tersebut mencapai akhir masa pakainya. Mengapa ESET menyarankan ini, karena para peneliti ESET telah memantau ekspansi cepat botnet IoT Mozi yang terus berkembang melalui eksploitasi kerentanan yang telah berlangsung selama bertahun-tahun, meskipun pembuatnya telah ditangkap pada Juni 2021.

Penting untuk dicatat bahwa setelah penangkapan pengembang Mozi, botnet masih dapat berjalan dengan “autopilot” dan mencari perangkat IoT yang rentan di internet untuk ditambahkan ke jaringan tanpa menggunakannya untuk tujuan jahat lainnya selain dari penyebaran lebih lanjut. 

Bahala Mozi

Menurut telemetri ESET, Mozi mengumpulkan hampir 600.000 bot di semester kedua 2021 saja. Lebih dari setengahnya, tepatnya 334.401 yang merupakan router di Tiongkok, diikuti oleh 162.000 di India, 22.300 di Albania, 17.700 di Rusia, dan sedikit di bawah 15.700 di Brasil.

Meskipun memiliki sebagian besar infrastruktur saat ini di Asia, Amerika Latin, dan Balkan, wilayah yang ditunjuk Mozi untuk invasi lebih lanjut tampaknya terletak di tempat lain, di negara-negara barat yang paling maju secara teknologi.

Dari lebih dari 6 juta upaya serangan Mozi yang terdeteksi oleh ESET pada semester kedua 2021, hampir 1.08 juta bertujuan untuk membobol perangkat di Amerika Serikat, 488.000 di Inggris, 420.000 di Jerman, 268.000 di Prancis, dan 261.000 di Belanda

Pada semester kedua 2021, berdasarkan 195.000 pemindaian yang diminta pengguna, ESET memeriksa 115.000 router unik di seluruh dunia. Pemindaian ini menemukan 3.180 (2,78%) perangkat ini menggunakan kata sandi yang lemah, yang menunjukkan penurunan tingkat 12% dibandingkan dengan 3.860 (3,14%) yang terlihat pada semester pertama 2021.

Perkembangan positif lainnya yang diamati pada semester kedua 2021 adalah hanya sekitar 1.780 (1,55%) perangkat yang dipindai masih memiliki salah satu kerentanan dengan penurunan tingkat lebih dari 13% bila dibandingkan dengan 2.200 dan 1,79% di semester pertama 2021.

Melihat lebih dekat pada kekurangan yang dipindai, lima teratas tetap tidak berubah jika dibandingkan dengan semester pertama 2021. Posisi pertama telah ditopang oleh kerentanan 2012 dalam manajemen berbasis web alat untuk router TP-Link TL-WR841N, muncul di 17,4% dari pemindaian positif.

Satu-satunya pendatang baru di antara 10 teratas adalah kelemahan eksekusi perintah jarak jauh EDB‑40472, yang ditemukan di router Billion 7700NR4. Tingkat deteksi kerentanan ini tumbuh dari 1,4% di semester pertama 2021 menjadi 2,3% di semester kedua 2021 dan dengan demikian mencapai posisi kesepuluh dalam peringkat ESET.

Kerentanan WPA3

Semester kedua 2021 juga membawa penemuan besar lainnya dari peneliti Belgia Mathy Vanhoef, yang memberi dunia salah satu cerita terbesar mengenai keamanan jaringan ketika timnya melanggar standar Wi-Fi Protected Access 2 (WPA2) pada tahun 2017 dan menunjukkan bahwa jaringan Wi-Fi apa pun pada saat itu dapat ditembus oleh peretas yang mengeksploitasi kelemahan melalui Key Reinstallation AattaCKs atau KRACKs.

Sekarang Mathy Vanhoef dan timnya melakukannya lagi, menerbitkan serangkaian kerentanan serius lainnya dalam standar Wi-Fi, termasuk versi terbaru WPA3, menamakannya serangan fragmentasi dan agregasi atau FragAttacks.

Demo di halaman tertaut menunjukkan beberapa dampak potensial, termasuk: penyadapan informasi sensitif, pelaku mengambil alih perangkat korban dan skenario di mana kelemahan digunakan sebagai “batu loncatan” untuk meluncurkan serangan lanjutan. Berdasarkan penelitian ini, 12 CVE telah diterbitkan.

Adapun kerentanan yang dieksploitasi di semester kedua 2021 oleh Mozi, perangkat Netgear DGN spesifik yang paling ditargetkan dengan EDB‑25978 yang belum ditambal, kelemahan keamanan yang pertama kali dilaporkan secara publik pada tahun 2013.

Dengan 1,63 juta deteksi, upaya serangan ini menduduki puncak daftar tetapi diikuti oleh 1,6 juta deteksi yang mengincar router DASAN (GPON) yang belum ditambal yang menggunakan kerentanan CVE‑2018‑10562 yang berusia tiga tahun. Eksploitasi kedua kerentanan ini bersama-sama menyumbang lebih dari setengah dari semua serangan Mozi.

1,43 juta deteksi lainnya, 24% diwakili oleh serangan yang mencoba mengeksploitasi CVE‑2015‑2051 berusia enam tahun pada router D-Link. Kerentanan terakhir, yang ditargetkan oleh lebih dari satu juta serangan Mozi, adalah EDB‑41471. Lalu dengan lebih dari 1,16 juta, kerentanan eksekusi kode jauh (RCE) server web Jaws 2017 ini menyumbang 19% dari aktivitas botnet.

Dalam hal keamanan IoT, kita harus berpegang pada aturan lama yakni, perbarui dan tambal semua perangkat pintar Anda. Botnet Mozi terus mengandalkan kerentanan lama yang sama, beberapa di antaranya berusia delapan tahun.

Sementara sejumlah besar perangkat IoT yang terhubung ke internet tidak ditambal memungkinkan penjahat dunia maya untuk membangun botnet dengan ratusan ribu bot dan menggunakannya untuk apa saja mulai dari menyebarkan malware melalui serangan DDoS besar hingga cryptomining. Meningkatkan keamanan IoT harus menjadi salah satu tujuan utama bagi setiap negara, jika harus membuat skala prioritas maka posisinya harus di paling atas.