CISA: Peretas Bobol Jaringan Lembaga Federal AS Lewat Celah GeoServer
Cybersecurity and Infrastructure Security Agency (CISA) mengungkap bahwa jaringan salah satu lembaga federal sipil eksekutif Amerika Serikat berhasil ditembus peretas tahun lalu. Serangan tersebut memanfaatkan kerentanan kritis pada GeoServer yang belum ditambal.
Celah RCE GeoServer Dimanfaatkan Penyerang
Kerentanan yang dimaksud adalah CVE-2024-36401, sebuah celah remote code execution (RCE) serius yang telah diperbaiki pada 18 Juni 2024. Sekitar sebulan kemudian, CISA memasukkan celah ini ke katalog Known Exploited Vulnerabilities (KEV) setelah beredar banyak proof-of-concept exploit dari para peneliti keamanan.
Layanan pemantauan Shadowserver mendeteksi eksploitasi aktif pertama pada 9 Juli 2024. Saat itu, mesin pencari OSINT ZoomEye mencatat lebih dari 16.000 server GeoServer terekspos daring.
Kronologi Serangan
Dua hari setelah eksploitasi terdeteksi, aktor ancaman berhasil mengakses server GeoServer milik lembaga federal tersebut. Sekitar dua minggu kemudian, server kedua juga berhasil dibobol. Selanjutnya, peretas melakukan pergerakan lateral ke dalam jaringan, termasuk menembus server web dan SQL.
Menurut CISA, peretas mengunggah web shell populer seperti China Chopper serta skrip untuk akses jarak jauh, persistence, eksekusi perintah, dan eskalasi hak akses. Mereka juga menggunakan teknik brute force (T1110) untuk mendapatkan kata sandi dan mengeksploitasi akun layanan demi memperluas kontrol jaringan.
Aktor ancaman ini beroperasi selama tiga minggu tanpa terdeteksi. Aktivitas mereka baru diketahui setelah alat Endpoint Detection and Response (EDR) mendeteksi file mencurigakan di SQL Server pada 31 Juli 2024. Investigasi kemudian dilakukan dengan bantuan CISA, sementara server terdampak segera diisolasi.
Seruan CISA untuk Mitigasi
Dalam advisori terbarunya, CISA mendesak organisasi untuk:
- Mempercepat penambalan kerentanan kritis, khususnya yang ada di katalog KEV.
- Memantau peringatan EDR secara berkelanjutan guna mendeteksi aktivitas mencurigakan.
- Menguatkan rencana respons insiden serta meningkatkan segmentasi jaringan dan pengelolaan kredensial.
CISA sebelumnya juga mengeluarkan peringatan setelah menemukan risiko keamanan di infrastruktur kritis AS, termasuk penggunaan kredensial admin bersama, akses jarak jauh tak terbatas, logging yang kurang memadai, dan konfigurasi segmentasi jaringan yang lemah.
Sumber: BleepingComputer
