Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin menambahkan dua kelemahan keamanan ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), mengutip bukti eksploitasi aktif di alam liar.
Daftar kekurangannya ada di bawah –
- CVE-2024-20767 (Skor CVSS: 7.4) – Adobe ColdFusion mengandung kerentanan kontrol akses yang tidak tepat yang memungkinkan penyerang mengakses atau memodifikasi file yang dibatasi melalui panel admin yang terekspos internet (Ditambal oleh Adobe pada Maret 2024)
- CVE-2024-35250 (Skor CVSS: 7.8) – Driver Mode Kernel Microsoft Windows berisi kerentanan dereferensi penunjuk tidak tepercaya yang memungkinkan penyerang lokal meningkatkan hak istimewa (Ditambal oleh Microsoft pada Juni 2024)
Perusahaan keamanan siber Taiwan DEVCORE, yang menemukan dan melaporkan CVE-2024-35250, membagikan detail teknis tambahan pada Agustus 2024, dengan menyatakan bahwa perusahaan tersebut berakar pada Microsoft Kernel Streaming Service (MSKSSRV).
Saat ini tidak ada rincian tentang bagaimana kelemahan tersebut dijadikan senjata dalam serangan di dunia nyata, meskipun eksploitasi proof-of-concept (PoC) untuk keduanya ada di domain publik.
Mengingat adanya eksploitasi aktif, lembaga-lembaga Cabang Eksekutif Sipil Federal (FCEB) direkomendasikan untuk menerapkan remediasi yang diperlukan paling lambat tanggal 6 Januari 2025, untuk mengamankan jaringan mereka.
FBI Memperingatkan akan HiatusRAT yang Menargetkan Kamera Web dan DVR
Perkembangan ini mengikuti peringatan dari Biro Investigasi Federal (FBI) tentang kampanye HiatusRAT yang meluas melampaui perangkat tepi jaringan seperti router untuk memindai perangkat Internet of Things (IoT) dari Hikvision, D-Link, dan Dahua yang berlokasi di AS, Australia, Kanada , Selandia Baru, dan Inggris.
“Para pelaku memindai kamera web dan DVR untuk mencari kerentanan termasuk CVE-2017-7921, CVE-2018-9995, CVE-2020-25078, CVE-2021-33044, CVE-2021-36260, dan kata sandi lemah yang disediakan vendor,” kata FBI. “Banyak dari kerentanan ini belum diatasi oleh vendor.”
Aktivitas jahat tersebut, yang diamati pada bulan Maret 2024, melibatkan penggunaan utilitas sumber terbuka yang disebut Ingram dan Medusa untuk pemindaian dan peretasan autentikasi brute force.
Router DrayTek Dieksploitasi dalam Kampanye Ransomware
Peringatan ini juga muncul ketika Forescout Vedere Labs, dengan intelijen yang dibagikan oleh PRODAFT, mengungkapkan minggu lalu bahwa pelaku ancaman telah mengeksploitasi kelemahan keamanan di router DrayTek untuk menargetkan lebih dari 20,000 perangkat DrayTek Vigor sebagai bagian dari kampanye ransomware terkoordinasi antara Agustus dan September 2023.
“Operasi tersebut mengeksploitasi dugaan kerentanan zero-day, memungkinkan penyerang menyusup ke jaringan, mencuri kredensial, dan menyebarkan ransomware,” kata perusahaan tersebut, seraya menambahkan bahwa kampanye tersebut “melibatkan tiga aktor ancaman yang berbeda – Monstrous Mantis (Ragnar Locker), Ruthless Mantis (PTI) -288) dan LARVA-15 (Wazawaka) – yang mengikuti alur kerja yang terstruktur dan efisien.”
Monstrous Mantis diyakini telah mengidentifikasi dan mengeksploitasi kerentanan dan mengumpulkan kredensial secara sistematis, yang kemudian dipecahkan dan dibagikan dengan mitra tepercaya seperti Ruthless Mantis dan LARVA-15.
Serangan tersebut pada akhirnya memungkinkan para kolaborator untuk melakukan aktivitas pasca-eksploitasi, termasuk pergerakan lateral dan peningkatan hak istimewa, yang pada akhirnya mengarah pada penyebaran berbagai jenis ransomware seperti RagnarLocker, Nokoyawa, RansomHouse, dan Qilin.
“Monstrous Mantis menahan eksploitasi itu sendiri, mempertahankan kendali eksklusif atas fase akses awal,” kata perusahaan itu. “Struktur yang diperhitungkan ini memungkinkan mereka memperoleh keuntungan secara tidak langsung, karena operator ransomware yang berhasil memonetisasi intrusi mereka diwajibkan membagi persentase dari hasil mereka.”
Ruthless Mantis diperkirakan telah berhasil menyusupi setidaknya 337 organisasi, sebagian besar berlokasi di Inggris dan Belanda, dengan LARVA-15 bertindak sebagai broker akses awal (IAB) dengan menjual akses yang diperoleh dari Monstrous Mantis kepada pelaku ancaman lainnya.
Serangan tersebut diduga memanfaatkan eksploitasi zero-day pada perangkat DrayTek, sebagaimana dibuktikan dengan ditemukannya 22 kerentanan baru yang memiliki akar permasalahan yang serupa dengan CVE-2020-8515 dan CVE-2024-41592.
“Terulangnya kerentanan tersebut dalam basis kode yang sama menunjukkan kurangnya analisis akar permasalahan yang menyeluruh, perburuan varian, dan tinjauan kode sistematis oleh vendor setelah setiap pengungkapan kerentanan,” kata Forescout.
