Risiko perusahaan dengan sistem yang masih bisa dieksploitasi melalui kerentanan RDP akan terus meningkat, bukan hanya pada perusahannya saja tetapi juga organisasi yang lain.
Data baru internet scan menunjukkan bahwa jika ruang eksploitasi kerentanan RDP untuk BlueKeep terbongkar di bulan Mei yang kemudian secara publik baru diketahui minggu ini, maka lebih dari 800.000 sistem akan beresiko diretas, menurut BitSight.
Berdasar data juga diketahui jika perusahaan yang bergerak dibidang hukum, non profit dan kedirgataraan atau pertahanan paling responsif menyikapi hal ini, berbanding terbalik dengan perusahaan yang bergerak dibidang pengadaan barang konsumen, utilitas dan industri teknologi.
Perusahaan pemberi rating keamanan, BitSight awal bulan ini memindai internet mencari sistem yang rentan dengan layanan Remote Desktop Protocol terkena BlueKeep. Scan menunjukkan bahwa 2 Juli, total 805.665 sistem tetap rentan terhadap BlueKeep, mengalami penurunan 17,8% dari hampir 973.000 sistem rentan yang BitSight ditemukan di bulan lalu. Sistem internet terkena yang tetap rentan terhadap BlueKeep, sekitar 105.170 berada di Amerika Serikat.
Diperkirakan bahwa sekitar 5225 sistem per hari menjadi terlindungi dari ancaman, sekitar 850 dari mereka melalui patching. Yang tersisa kemungkinan sedang dikonfigurasi sehingga RDP tidak lagi terkena internet.
Proporsi setiap perusahaan dipelajari dalam setiap industri yang memiliki sistem yang rentan terekspos secara eksternal dan dibandingkan dengan data dari scan terakhir. Perbandingan menunjukkan jumlah sistem yang rentan dalam sektor barang konsumsi menurun hanya 5,3% selama satu bulan terakhir, sedangkan dalam utilitas dan teknologi industri mengalami penurunan masing-masing sebesar 9,5% dan 11,7%. Sebaliknya, jumlah sistem yang rentan dalam perusahaan yang bergerak di bidang hukum, nirlaba/sektor kedirgantaraan/pertahanan masing-masing turun 32,9%, 27,1% dan 24,1%.
Sektor telekomunikasi dan pendidikan memiliki persentase tertinggi sistem yang tidak di-patch ditemukan secara online. Tapi itu mungkin karena organisasi di industri ini sering memberikan “transit” layanan kepada pelanggan, dan dengan demikian banyak dari sistem rentan mungkin milik konsumen dan siswa.
Bahaya BlueKeep
BlueKeep (CVE-2019-0708), bug yang dapat dieksekusi dari jarak jauh dalam RDP yang ada di dalam versi Windows lama termasuk beberapa yang telah dihentikan, memungkinkan peretas untuk mengambil kontrol penuh dari sistem yang rentan dan mencuri atau merusak data. Seorang peretas juga bisa memanfaatkannya untuk memata-matai pengguna atau melakukan kegiatan berbahaya lainnya.
Microsoft telah menjelaskan bahwa kerentanan wormable dan memungkinkan malware untuk menyebar secara otonom dari satu sistem ke sistem lain, dalam banyak cara yang sama seperti yang dilakukan WannaCry di seluruh dunia pada tahun 2017. Perusahaan ini mengeluarkan patch untuk BlueKeep di bulan Mei, termasuk untuk versi Windows yang tidak mereka dukung lagi.
Sejak itu, Microsoft, DHS, NSA, dan sejumlah pakar keamanan memperingatkan organisasi tentang parahnya ancaman dan mendesak mereka untuk menambal atau mengambil langkah-langkah lain untuk mengurangi eksposur mereka.
Data baru menunjukkan bahwa sementara banyak perusahaan telah menanggapi ancaman secara serius, sementara yang lain masih tetap mudah terekspos. Dalam arti, gambaran yang sekarang terlihat tidak berbeda dibandingkan dengan pandemi WannaCry. EternalBlue yang mengeksploitasi kerentanan untuk WannaCry, diketahui secara umum pada bulan Maret tahun 2017 dan sebulan kemudian exploit yang dikembangkan NSA dikabarkan telah bocor.
Hal yang serupa bisa saja terjadi seperti dulu. Masih ada sejumlah penting dari sistem rentan terhadap EternalBlue pada saat serangan WannaCry terjadi sehingga begitu besar dampaknya. Secara signifikan, BlueKeep sendiri dapat menimbulkan risiko terhadap organisasi, Peretas dapat menggunakannya untuk melakukan serangan ditargetkan.
Dengan kata lain BlueKeep bisa menjadi suksesor EternalBlue berikutnya jika tidak segera mengambil tindakan secara tepat dan cepat. Untuk membantu mengatasi situasi yang genting seperti ini, ESET memiliki beberapa tips untuk organisasi dan perusahaan, sebaga berikut:
- Patch dan patch selalu. Jika Anda atau organisasi Anda menjalankan versi Windows yang didukung, perbarui ke versi terbaru. Jika memungkinkan, aktifkan pembaruan otomatis. Jika masih menggunakan Windows XP atau Windows 2003 yang tidak didukung, unduh dan terapkan tambalan sesegera mungkin.
- Nonaktifkan Remote Desktop Protocol. Meskipun RDP sendiri tidak rentan, Microsoft menyarankan organisasi untuk menonaktifkannya sampai tambalan terbaru telah diterapkan. Selanjutnya, untuk meminimalisir kerenatanan, RDP seharusnya hanya diaktifkan pada perangkat yang benar-benar digunakan dan dibutuhkan.
- Konfigurasikan RDP dengan benar. Jika organisasi atau perusahaan Anda benar-benar harus menggunakan RDP, hindari memaparkannya ke internet publik. Hanya perangkat di LAN, atau mengakses melalui VPN, yang dapat membuat remote session. Pilihan lain adalah memfilter akses RDP menggunakan firewall, hanya memasukkan rentang IP tertentu. Jika ini tidak memungkinkan, gunakan otentikasi multi faktor.
- Aktifkan Network Level Authentication (NLA). BlueKeep dapat dimitigasi sebagian dengan mengaktifkan NLA, karena mengharuskan pengguna untuk mengotentikasi sebelum remote session dibuat dan cacatnya dapat disalahgunakan. Namun, seperti Microsoft menambahkan, “sistem yang terkena dampak masih rentan terhadap eksploitasi Remote Code Execution (RCE) jika peretas memiliki kredensial yang valid yang dapat digunakan untuk berhasil mengotentikasi.”
- Gunakan solusi keamanan berlapis-lapis yang andal yang dapat mendeteksi dan mengurangi serangan yang mengeksploitasi cacat pada tingkat jaringan.
Sumber berita:
www.welivesecurity.com
