Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan peringatan resmi mengenai eksploitasi aktif terhadap kerentanan pada perangkat lunak manajemen TI SysAid. Kerentanan ini telah dimanfaatkan oleh aktor ancaman untuk melakukan serangan siber yang ditargetkan, termasuk kemungkinan akses awal ke jaringan korporat.
Detail Kerentanan dan Eksploitasi
Kerentanan dimaksud adalah CVE-2023-47246, sebuah celah kritis yang memungkinkan pelaku menjalankan perintah berbahaya secara remote tanpa autentikasi (unauthenticated remote command execution). Bug ini ditemukan di perangkat lunak SysAid On-Prem yang banyak digunakan oleh organisasi untuk helpdesk, manajemen aset, dan proses ITSM (IT Service Management).
Menurut laporan CISA, eksploitasi aktif sudah berlangsung di alam liar, dan pelaku menggunakannya untuk:
- Menanam malware atau akses pintu belakang (backdoor)
- Mencuri kredensial administratif
- Bergerak lateral dalam jaringan internal
- Mengaktifkan beban muatan tambahan seperti ransomware
Kaitan dengan Aktor Ancaman Canggih
Salah satu eksploitasi yang tercatat menunjukkan adanya indikasi keterlibatan kelompok APT, termasuk yang sebelumnya terkait dengan serangan ransomware dan kampanye spionase digital. Teknik eksploitasi yang digunakan menunjukkan kemampuan teknis tinggi dan tujuan jangka panjang untuk mempertahankan akses diam-diam.
CISA bekerja sama dengan mitra internasional untuk melacak infrastruktur dan indikator kompromi (IOC) yang terkait, serta telah mengunggah tanda tangan deteksi ke berbagai platform keamanan.
Rekomendasi Tindakan Segera
CISA dan peneliti keamanan menyerukan agar semua organisasi yang menggunakan SysAid:
- Segera memperbarui perangkat lunak ke versi terbaru yang telah menutup celah CVE-2023-47246
- Memeriksa log akses dan sistem untuk tanda-tanda eksploitasi, termasuk koneksi outbound mencurigakan
- Segmentasi jaringan internal untuk membatasi pergerakan lateral
- Menerapkan prinsip zero trust dan pembatasan hak akses administratif
Organisasi yang tidak dapat segera memutakhirkan disarankan untuk menonaktifkan sementara sistem SysAid yang terbuka ke internet, guna mencegah eksploitasi lebih lanjut.
Sumber: CISA warns of hackers exploiting SysAid vulnerabilities in attacks