Profesional keamanan dan administrator sistem berada dalam siaga tinggi karena Microsoft, Fortinet, dan Ivanti masing-masing telah merilis saran keamanan penting mengenai kerentanan zero-day yang dieksploitasi secara aktif yang memengaruhi produk mereka masing-masing. Kerentanan ini menimbulkan risiko signifikan bagi organisasi, yang berpotensi menyebabkan akses tidak sah, pelanggaran data, dan kompromi sistem. Patching segera dan implementasi solusi yang direkomendasikan sangat disarankan untuk mengurangi potensi ancaman.
Microsoft Mengatasi Kerentanan yang Dieksploitasi Secara Aktif dan Diungkapkan ke Publik
Rilis Patch Tuesday Microsoft baru-baru ini menyertakan perbaikan untuk sejumlah kerentanan yang mengkhawatirkan, termasuk lima yang sudah dieksploitasi secara aktif di alam liar, bersama dengan dua kerentanan zero-day yang diungkapkan ke publik. Celah yang dieksploitasi secara aktif merupakan ancaman serius, karena aktor jahat secara aktif memanfaatkannya untuk mengkompromikan sistem.
Detail Kerentanan yang Dieksploitasi Secara Aktif
Kerentanan berikut telah diidentifikasi sebagai dieksploitasi secara aktif:
- Microsoft DWM Core Library (CVE-2025-30400): Kerentanan dalam Desktop Window Manager (DWM) Core Library ini dapat memungkinkan penyerang untuk meningkatkan hak istimewa mereka ke tingkat SISTEM. Ini berarti penyerang dapat memperoleh kendali penuh atas sistem yang terpengaruh.
- Windows Common Log File System (CVE-2025-32701 dan CVE-2025-32706): Dua kerentanan terpisah dalam Windows Common Log File System (CLFS) juga dapat memungkinkan penyerang untuk mencapai hak istimewa tingkat SISTEM. CLFS adalah layanan pencatatan tujuan umum yang digunakan oleh berbagai komponen Windows.
- Windows Ancillary Function Driver (CVE-2025-32709): Kerentanan dalam Windows Ancillary Function Driver juga dapat menyebabkan peningkatan hak istimewa ke tingkat SISTEM.
- Microsoft Scripting Engine (CVE-2025-30397): Kerentanan kerusakan memori ada di Microsoft Scripting Engine yang dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer. Ini dapat memungkinkan penyerang untuk menjalankan perangkat lunak jahat pada sistem yang terpengaruh.
Kerentanan yang Diungkapkan ke Publik
Selain kerentanan yang dieksploitasi secara aktif, Microsoft juga mengatasi dua kerentanan zero-day yang diungkapkan ke publik:
- Microsoft Defender (CVE-2025-26685): Kerentanan pemalsuan identitas ada di Microsoft Defender yang dapat memungkinkan penyerang untuk memalsukan akun lain melalui jaringan yang berdekatan.
- Visual Studio (CVE-2025-32702): Kerentanan eksekusi kode jarak jauh di Visual Studio dapat memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode secara lokal.
Kerentanan Kritis yang Membutuhkan Prioritas
Di luar celah yang dieksploitasi secara aktif dan diungkapkan ke publik, Microsoft juga telah mengeluarkan patch untuk enam kerentanan kritis yang, meskipun saat ini tidak diketahui dieksploitasi, harus diprioritaskan untuk ditambal. Kerentanan ini memengaruhi berbagai produk Microsoft termasuk:
- Microsoft Office (CVE-2025-30377 dan CVE-2025-30386): Dua kerentanan kritis telah diidentifikasi di Microsoft Office, yang berpotensi memungkinkan untuk eksekusi kode jarak jauh.
- Microsoft Power Apps (CVE-2025-47733): Kerentanan kritis telah ditemukan di Microsoft Power Apps yang dapat menyebabkan akses tidak sah atau eksekusi kode.
- Remote Desktop Gateway Service (CVE-2025-29967): Kerentanan kritis ada di Remote Desktop Gateway Service yang dapat memungkinkan penyerang untuk mengkompromikan sistem.
- Windows Remote Desktop (CVE-2025-29966): Kerentanan kritis telah ditemukan di Windows Remote Desktop, yang berpotensi menyebabkan eksekusi kode jarak jauh.
Fortinet Mengatasi Kerentanan Kritis di Berbagai Produk
Fortinet telah merilis saran keamanan mengenai kerentanan kritis yang memengaruhi beberapa produknya, termasuk FortiVoice, FortiMail, FortiNDR, FortiRecorder, dan FortiCamera.
Kerentanan ini, buffer overflow berbasis tumpukan, telah diberi skor tingkat keparahan CVSS v4 sebesar 9.6 (CVSS v3.1: 9.8), yang menunjukkan tingkat keparahannya yang tinggi. Kerentanan dapat dieksploitasi dari jarak jauh oleh penyerang yang tidak diautentikasi dengan mengirimkan permintaan HTTP yang berisi cookie hash yang dibuat khusus. Eksploitasi yang berhasil dapat menyebabkan eksekusi kode arbitrer, yang memungkinkan penyerang untuk mengambil kendali penuh atas perangkat yang terpengaruh.
Eksploitasi Teramati di FortiVoice
Fortinet telah mengonfirmasi bahwa pihaknya telah mengamati eksploitasi aktif dari kerentanan ini di perangkat FortiVoice. Penyerang telah memindai jaringan perangkat, menghapus log crash sistem, dan mengaktifkan debugging fcgi untuk menangkap kredensial yang dimasukkan selama upaya login sistem atau SSH.
Produk dan Versi yang Terpengaruh
Kerentanan, yang dilacak sebagai CVE-2025-32756, memengaruhi versi produk berikut. Peningkatan segera ke versi tetap yang ditentukan sangat disarankan:
- FortiVoice:
- 7.2.0: Tingkatkan ke 7.2.1 atau lebih tinggi
- 7.0.0 hingga 7.0.6: Tingkatkan ke 7.0.7 atau lebih tinggi
- 6.4.0 hingga 6.4.10: Tingkatkan ke 6.4.11 atau lebih tinggi
- FortiRecorder:
- 7.2.0 hingga 7.2.3: Tingkatkan ke 7.2.4 atau lebih tinggi
- 7.0.0 hingga 7.0.5: Tingkatkan ke 7.0.6 atau lebih tinggi
- 6.4.0 hingga 6.4.5: Tingkatkan ke 6.4.6 atau lebih tinggi
- FortiMail:
- 7.6.0 hingga 7.6.2: Tingkatkan ke 7.6.3 atau lebih tinggi
- 7.4.0 hingga 7.4.4: Tingkatkan ke 7.4.5 atau lebih tinggi
- 7.2.0 hingga 7.2.7: Tingkatkan ke 7.2.8 atau lebih tinggi
- 7.0.0 hingga 7.0.8: Tingkatkan ke 7.0.9 atau lebih tinggi
- FortiNDR:
- 7.6.0: Tingkatkan ke 7.6.1 atau lebih tinggi
- 7.4.0 hingga 7.4.7: Tingkatkan ke 7.4.8 atau lebih tinggi
- 7.2.0 hingga 7.2.4: Tingkatkan ke 7.2.5 atau lebih tinggi
- 7.1: Migrasi ke rilis tetap
- 7.0.0 hingga 7.0.6: Tingkatkan ke 7.0.7 atau lebih tinggi
- 1.1 hingga 1.5: Migrasi ke rilis tetap
- FortiCamera:
- 2.1.0 hingga 2.1.3: Tingkatkan ke 2.1.4 atau lebih tinggi
- 2.0: Migrasi ke rilis tetap
- 1.1: Migrasi ke rilis tetap
Indikator Kompromi dan Langkah-Langkah Mitigasi
Fortinet telah memberikan indikator kompromi (IOC) dalam peringatan keamanannya untuk membantu organisasi mendeteksi potensi upaya eksploitasi. Jika patching segera tidak memungkinkan, Fortinet merekomendasikan untuk menonaktifkan sementara antarmuka administratif HTTP/HTTPS sebagai tindakan mitigasi.
Ivanti Mengatasi Kerentanan Eksekusi Kode Jarak Jauh di Endpoint Manager Mobile
Ivanti telah merilis saran keamanan yang membahas dua kerentanan yang memengaruhi solusi Endpoint Manager Mobile (EPMM). Kerentanan ini, ketika dirantai bersama, dapat menyebabkan eksekusi kode jarak jauh yang tidak diautentikasi. Ivanti telah menyatakan bahwa kerentanan terkait dengan kode sumber terbuka yang digunakan di EPMM, bukan kode inti Ivanti.
Detail Kerentanan
- CVE-2025-4427 (Tingkat Keparahan Sedang): Ini adalah celah bypass autentikasi dengan skor tingkat keparahan CVSS v3.1 sebesar 5.3. Penyerang dapat mengeksploitasi ini untuk bypass mekanisme autentikasi dan mendapatkan akses tidak sah ke sistem.
- Kerentanan Eksekusi Kode Jarak Jauh (Tingkat Keparahan Tinggi): Kerentanan ini memiliki skor tingkat keparahan CVSS v3.1 sebesar 7.2, yang menunjukkan dampak potensial yang tinggi. Dengan mengeksploitasi celah ini, penyerang dapat mengeksekusi kode arbitrer pada sistem yang terpengaruh dari jarak jauh.
Produk dan Versi yang Terpengaruh
Versi Ivanti Endpoint Mobile Manager berikut terpengaruh oleh kerentanan ini. Tingkatkan ke versi terbaru sesegera mungkin:
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 dan sebelumnya: Tingkatkan ke 11.12.0.5 dan yang lebih baru
- 12.3.0.1 dan sebelumnya: Tingkatkan ke 12.3.0.2 dan yang lebih baru
- 12.4.0.1 dan sebelumnya: Tingkatkan ke 12.4.0.2 dan yang lebih baru
- 12.5.0.0 dan sebelumnya: Tingkatkan ke 12.5.0.1 dan yang lebih baru
Strategi Mitigasi
Ivanti sangat menyarankan pengguna untuk meningkatkan ke versi terbaru EPMM sesegera mungkin. Namun, risiko dapat dikurangi secara signifikan dengan memfilter akses ke API menggunakan Portal ACL bawaan atau Web Application Firewall (WAF) eksternal. Langkah-langkah ini dapat membantu mencegah akses tidak sah dan eksploitasi kerentanan.
Analisis Mendalam tentang Ancaman dan Solusi
Ancaman keamanan siber terus berkembang, dengan penyerang yang terus mencari celah untuk dieksploitasi. Insiden yang melibatkan Microsoft, Fortinet, dan Ivanti menyoroti pentingnya kewaspadaan dan pendekatan proaktif terhadap keamanan siber. Dalam analisis mendalam ini, kita akan membahas lebih lanjut implikasi dari kerentanan ini dan mengeksplorasi strategi komprehensif untuk memitigasi risiko dan meningkatkan postur keamanan secara keseluruhan.
Peningkatan Prioritas untuk Patching dan Mitigasi
Setelah saran keamanan dirilis, organisasi harus segera memprioritaskan patching dan menerapkan solusi yang direkomendasikan. Hal ini melibatkan identifikasi sistem yang terpengaruh, pengunduhan dan penerapan patch yang sesuai, dan secara cermat mengikuti instruksi mitigasi yang diberikan oleh vendor. Penundaan dalam penerapan patch ini dapat membuat organisasi rentan terhadap eksploitasi dan serangan potensial.
Peran Patch Management Systems
Sistem manajemen patch memainkan peran penting dalam merampingkan proses patching dan memastikan bahwa semua sistem yang terpengaruh diperbarui tepat waktu. Sistem ini mengotomatiskan tugas mengidentifikasi kerentanan, mengunduh patch, dan menerapkannya ke sistem yang relevan. Menggunakan sistem manajemen patch dapat secara signifikan mengurangi waktu yang dibutuhkan untuk menambal kerentanan dan meminimalkan risiko eksploitasi.
Implementasi Workaround dan Mitigasi Sementara
Dalam beberapa kasus, patching segera mungkin tidak memungkinkan karena masalah kompatibilitas atau kendala operasional. Dalam skenario ini, organisasi harus menerapkan solusi dan mitigasi sementara untuk mengurangi risiko hingga patch dapat diterapkan. Workaround dapat melibatkan menonaktifkan fitur yang terpengaruh, membatasi akses ke sistem yang rentan, atau menerapkan kontrol keamanan tambahan.
Memperkuat Kontrol Akses dan Autentikasi
Kontrol akses dan mekanisme autentikasi yang kuat sangat penting untuk mencegah akses tidak sah ke sistem dan data yang sensitif. Organisasi harus menerapkan autentikasi multi-factor (MFA) untuk semua akun pengguna, termasuk akun administrator. Selain itu, prinsip hak istimewa paling sedikit harus ditegakkan, yang memastikan bahwa pengguna hanya memiliki akses ke sumber daya yang mereka butuhkan untuk melakukan tugas pekerjaan mereka.
Memperkuat Keamanan Jaringan
Keamanan jaringan sangat penting untuk mencegah penyerang mengakses sistem organisasi. Organisasi harus menerapkan firewall, sistem deteksi intrusi (IDS), dan sistem pencegahan intrusi (IPS) untuk memantau lalu lintas jaringan yang berbahaya dan memblokir upaya akses yang tidak sah. Jaringan harus disegmentasikan untuk membatasi dampak potensi pelanggaran.
Melakukan Penilaian Kerentanan Reguler
Penilaian kerentanan reguler membantu mengidentifikasi kelemahan dalam infrastruktur keamanan organisasi. Penilaian ini melibatkan pemindaian sistem dan aplikasi untuk kerentanan yang diketahui, serta menguji efektivitas kontrol keamanan. Hasil penilaian kerentanan harus digunakan untuk memprioritaskan upaya patching dan memperbaiki kelemahan lainnya.
Melakukan Pengujian Penetrasi
Pengujian penetrasi, juga dikenal sebagai ethical hacking, melibatkan simulasi serangan dunia nyata untuk mengidentifikasi dan mengeksploitasi kerentanan dalam sistem dan aplikasi organisasi. Penguji penetrasi menggunakan berbagai teknik untuk mencoba bypass kontrol keamanan dan mendapatkan akses tidak sah. Temuan pengujian penetrasi dapat digunakan untuk meningkatkan postur keamanan organisasi.
Memberikan Pelatihan dan Kesadaran Keamanan
Pelatihan dan program kesadaran keamanan sangat penting untuk mendidik pengguna tentang risiko dan cara untuk melindungi diri mereka sendiri dari serangan siber. Pengguna harus dilatih untuk mengidentifikasi phishing dan rekayasa sosial, menggunakan kata sandi yang kuat, dan menghindari mengklik tautan atau mengunduh lampiran dari sumber yang tidak dikenal. Program pelatihan keamanan harus dilakukan secara berkala untuk menjaga pengguna agar tetap mendapatkan informasi terkini tentang lanskap ancaman terbaru.
Mempertahankan Respons Insiden dan Rencana Pemulihan
Organisasi harus mengembangkan dan memelihara respons insiden dan rencana pemulihan untuk mengatasi insiden keamanan dan serangan siber secara efektif. Respons insiden harus menguraikan langkah-langkah yang harus diambil dalam kasus pelanggaran keamanan, termasuk menahan insiden, menyelidiki penyebabnya, dan memulihkan sistem dan data. Rencana pemulihan harus menentukan bagaimana organisasi akan melanjutkan operasi bisnis jika terjadi pemadaman besar.
Memantau Log dan Mempertahankan Kewaspadaan
Pemantauan log dan solusi manajemen informasi keamanan (SIEM) menyediakan kemampuan pemantauan waktu nyata dan analisis log untuk mendeteksi aktivitas yang mencurigakan dan potensi insiden keamanan. Log dari berbagai sumber, termasuk sistem, aplikasi, dan perangkat jaringan, dikumpulkan, dikorelasikan, dan dianalisis untuk mengidentifikasi anomali dan potensi ancaman. Solusi SIEM dapat membantu organisasi mendeteksi insiden keamanan dan meresponsnya dengan cepat.
Kolaborasi dan Berbagi Informasi
Kolaborasi dan berbagi informasi sangat penting untuk meningkatkan keamanan siber di seluruh organisasi dan industri. Organisasi harus berpartisipasi dalam forum berbagi informasi, seperti pusat analisis dan berbagi informasi (ISAC), dan berbagi informasi ancaman dengan organisasi lain. Kolaborasi dan berbagi informasi dapat membantu organisasi tetap mendapatkan informasi terbaru tentang ancaman dan kerentanan terbaru dan meningkatkan kemampuan respons keamanan mereka.
Mempertahankan Pendekatan Keamanan Berlapis
Pendekatan keamanan berlapis, juga dikenal sebagai pertahanan mendalam, melibatkan penerapan berbagai kontrol keamanan di berbagai lapisan infrastruktur organisasi. Pendekatan ini memastikan bahwa jika satu kontrol keamanan gagal, kontrol lain ada untuk mencegah atau mendeteksi serangan. Keamanan berlapis dapat membantu organisasi meningkatkan postur keamanan secara keseluruhan dan mengurangi risiko serangan siber.
Kesimpulan
Kerentanan dan serangan siber yang dibahas di atas menyoroti tantangan keamanan siber dan lanskap ancaman yang terus berkembang. Memahami detail kerentanan ini sangat penting bagi organisasi untuk mengambil tindakan yang sesuai untuk memitigasi risiko dan chasis pertahanan. Dengan memprioritaskan patching, menerapkan workaround, memperkuat kontrol akses, memperkuat keamanan jaringan, melakukan penilaian kerentanan reguler, melakukan pengujian penetrasi, menyediakan pelatihan dan kesadaran keamanan, memelihara respons insiden dan rencana pemulihan yang solid, memantau log dengan cermat, dan menganut pendekatan keamanan berlapis, organisasi dapat secara signifikan meningkatkan postur keamanan mereka dan melindungi diri mereka sendiri dari lanskap ancaman siber yang terus meningkat. Selain itu, kolaborasi, berbagi informasi, dan kewaspadaan sangat penting untuk tetap menjadi yang terdepan dari penyerang dan memastikan lingkungan digital yang lebih aman untuk semua orang.