Peretas Mengeksploitasi Cacat pada Perangkat Lunak Citrix Meskipun Sudah Diperbaiki
Sebuah kelemahan kritis pada perangkat lunak dari Citrix Systems Inc., sebuah perusahaan yang memelopori akses jarak jauh sehingga orang dapat bekerja di mana saja, telah dieksploitasi oleh peretas dan kelompok kriminal yang didukung pemerintah, menurut seorang pejabat dunia maya AS.
Cacat tersebut, yang dijuluki Citrix Bleed, disalahgunakan oleh peretas secara rahasia selama berminggu-minggu sebelum ditemukan dan perbaikan dikeluarkan bulan lalu, menurut postingan online Citrix dan peneliti keamanan siber. Sejak itu, para peneliti mengatakan para peretas telah mempercepat eksploitasi bug tersebut, dengan menargetkan ribuan pelanggan yang belum menerapkan patch.
“Kami menyadari bahwa berbagai macam aktor jahat, termasuk negara dan kelompok kriminal, fokus untuk memanfaatkan kerentanan Citrix Bleed,” Eric Goldstein, asisten direktur eksekutif keamanan siber di Badan Keamanan Siber dan Infrastruktur AS, yang dikenal sebagai CISA , kepada Bloomberg News.
CISA memberikan bantuan kepada para korban, kata Goldstein, yang menolak untuk mengidentifikasi mereka. Musuh dapat mengeksploitasi kerentanan untuk mencuri informasi sensitif dan berupaya mendapatkan akses jaringan yang lebih luas, katanya.
Citrix tidak menanggapi pesan yang meminta komentar.
Kami sekarang ada di WhatsApp. Klik untuk bergabung.
Di antara kelompok kriminal yang mengeksploitasi bug Citrix Bleed adalah salah satu geng peretas paling terkenal di dunia, LockBit, menurut konsorsium keamanan perbankan global, FS-ISAC, yang pada hari Selasa mengeluarkan buletin keamanan tentang risiko terhadap lembaga keuangan.
Departemen Keuangan AS juga mengatakan sedang menyelidiki apakah kerentanan Citrix bertanggung jawab atas peretasan uang tebusan yang melemahkan baru-baru ini terhadap Industrial & Commercial Bank of China Ltd., menurut seseorang yang mengetahui masalah tersebut. Pelanggaran ini menyebabkan bank terbesar di dunia tidak dapat menghapus sebagian besar perdagangan Treasury AS. ICBC tidak menanggapi permintaan komentar.
LockBit mengklaim bertanggung jawab atas peretasan ICBC, dan perwakilan geng tersebut mengatakan bank tersebut membayar uang tebusan, meskipun Bloomberg tidak dapat mengkonfirmasi klaim tersebut secara independen. The Wall Street Journal sebelumnya melaporkan surat utang AS.
Citrix mengumumkan telah menemukan bug Citrix Bleed pada 10 Oktober dan mengeluarkan patch. Perusahaan mengatakan bahwa pada saat itu, tidak ada tanda-tanda ada orang yang mengeksploitasi kerentanan tersebut.
Namun sejak saat itu, beberapa pelanggan Citrix telah menemukan bahwa mereka telah dibobol sebelum patch tersebut dikeluarkan, menurut postingan Citrix dan peneliti keamanan siber. Salah satu korban awal adalah pemerintah Eropa, menurut seseorang yang mengetahui masalah ini, yang menolak menyebutkan nama negaranya.
Bug Citrix Bleed memungkinkan peretas mengambil kendali sistem korban, menurut CISA. Cacat ini mendapatkan julukannya karena dapat membocorkan informasi sensitif dari memori perangkat, menurut unit riset perusahaan keamanan siber Palo Alto Networks Inc., Unit 42. Data yang bocor dapat mencakup “token sesi” yang dapat mengidentifikasi dan mengautentikasi pengunjung ke situs web atau layanan tertentu tanpa memasukkan kata sandi.
Perusahaan keamanan siber Mandiant mulai menyelidiki kerentanan tersebut setelah Citrix menandainya dan akhirnya menemukan banyak korban sebelum bug tersebut dipublikasikan atau diperbaiki, sejak akhir Agustus.
Charles Carmakal, kepala bagian teknologi di bagian konsultasi Mandiant, mengatakan kepada Bloomberg bahwa serangan awal tersebut tampaknya tidak bermotif finansial. Mandiant masih menilai apakah gangguan awal tersebut dilakukan untuk tujuan spionase oleh suatu negara, mungkin Tiongkok, katanya.
Ketika dimintai komentar, kedutaan besar Tiongkok di Washington tidak membahas kerentanan Citrix namun merujuk pada komentar 10 November dari Kementerian Luar Negeri. “ICBC memantau dengan cermat hal ini dan telah mengambil langkah tanggap darurat yang efektif serta melakukan pengawasan dan komunikasi yang tepat untuk meminimalkan risiko, dampak, dan kerusakan,” kata kementerian tersebut.
Citrix memperbarui panduannya pada 23 Oktober yang merekomendasikan tidak hanya melakukan patching tetapi juga “menghentikan semua sesi yang aktif dan persisten.”
Ribuan perusahaan gagal memperbarui perangkat lunak Citrix mereka dan mengambil tindakan lain yang sangat direkomendasikan oleh perusahaan, CISA, dan lainnya. Tim Unit 42 Palo Alto, yang juga mengamati kelompok ransomware yang mengeksploitasi bug tersebut, mengatakan dalam blog tanggal 1 November bahwa setidaknya 6.000 alamat IP tampak rentan dan sebagian besar perangkat ini berlokasi di AS, serta di negara lain. Jerman, Tiongkok, dan Inggris.
GreyNoise, sebuah perusahaan yang menganalisis pemindaian berdasarkan alamat IP, melaporkan bahwa mereka melihat 335 alamat IP unik mencoba menggunakan eksploitasi Citrix Bleed sejak mereka mulai melacaknya pada 17 Oktober.
LockBit adalah nama geng dan jenis ransomware yang dihasilkannya. FBI menyatakan mereka bertanggung jawab atas lebih dari 1.700 serangan terhadap AS sejak tahun 2020.
Seorang peneliti keamanan, Kevin Beaumont, mengatakan eksploitasi LockBit terhadap kelemahan Citrix meluas ke banyak korban. Firma hukum Allen & Overy dibobol melalui kelemahan Citrix, katanya dalam sebuah postingan di Medium, dan raksasa penerbangan Boeing Co. serta operator pelabuhan DP World Plc telah menghapus patch perangkat Citrix, sehingga memungkinkan peretas berpotensi mengeksploitasi bug tersebut.
Beaumont menggambarkan kelemahan tersebut sebagai “sangat mudah untuk dieksploitasi” dan menambahkan, “Realitas keamanan siber yang kita alami saat ini adalah remaja berkeliaran dalam geng kejahatan terorganisir dengan bazoka digital.”
Perwakilan Allen & Overy, DP World dan Boeing tidak membahas apakah bug Citrix telah dieksploitasi. Insiden di Allen & Overy berdampak pada sejumlah kecil server penyimpanan namun sistem inti tidak terpengaruh, kata seorang juru bicara. Pelanggaran yang mempengaruhi suku cadang dan sistem distribusi Boeing masih dalam penyelidikan, kata seorang juru bicara.
Perwakilan DP World mengatakan perusahaan tersebut terbatas dalam memberikan rincian karena sifat penyelidikan yang sedang berlangsung. Beaumont tidak menanggapi permintaan komentar.
Satu hal lagi! HT Tech sekarang ada di Saluran WhatsApp! Ikuti kami dengan mengklik link tersebut agar Anda tidak ketinggalan update apapun dari dunia teknologi. Klik Di Sini untuk bergabung sekarang!
