Pusat Keamanan Siber Nasional (NCSC) Inggris dan lembaga mitranya di Amerika, Badan Keamanan Nasional (NSA) dan FBI, hari ini menerbitkan peringatan lain yang menyoroti eksploitasi kerentanan yang sedang berlangsung, dalam skala besar, oleh pelaku ancaman yang terkait dengan negara Rusia.
Saran terbaru ini memperingatkan organisasi-organisasi yang berisiko menjadi sasaran Badan Intelijen Luar Negeri Moskow, SVR, untuk segera menerapkan patch dan memprioritaskan pembaruan perangkat lunak segera setelah tersedia.
SVR adalah salah satu dari sejumlah lembaga Rusia yang dicurigai memberikan tugas kepada kelompok yang dikenal sebagai APT29, atau lebih tepatnya, Cozy Bear. Cozy Bear berada di balik insiden Solorigate/Sunburst yang memengaruhi pelanggan SolarWinds, dan peretasan Komite Nasional Demokrat AS pada tahun 2016, dan banyak hal lainnya.
“Pelaku dunia maya Rusia tertarik dan berkemampuan tinggi untuk mengakses sistem yang belum ditambal di berbagai sektor, dan begitu mereka tertarik, mereka dapat memanfaatkan akses ini untuk mencapai tujuan mereka,” kata direktur operasi NCSC Paul Chichester.
“Semua organisasi didorong untuk meningkatkan pertahanan dunia maya mereka: memperhatikan saran yang ditetapkan dalam nasihat tersebut dan memprioritaskan penerapan patch dan pembaruan perangkat lunak,” tambahnya.
Badan-badan tersebut menyoroti beberapa taktik terbaru yang digunakan untuk mengumpulkan intelijen asing oleh Cozy Bear, yang akhir-akhir ini mengkhususkan diri dalam menargetkan badan-badan pemerintah dan diplomatik, lembaga pemikir, perusahaan teknologi, dan lembaga keuangan.
Diketahui bahwa mereka memindai sistem yang terhubung ke internet untuk menemukan kerentanan yang belum ditambal dalam skala besar untuk dieksploitasi secara oportunistik dengan harapan dapat terjadi kompromi lebih lanjut.
Oleh karena itu, organisasi mana pun di sektor apa pun – tidak hanya organisasi yang memiliki risiko tertentu menjadi sasaran spionase – mungkin akan menghadapi kesulitan karena Cozy Bear memanfaatkan sistem rentan mereka untuk menampung infrastruktur berbahaya, menjalankan operasi lanjutan dari akun yang disusupi, atau melakukan pivot. ke jaringan lain.
Hal ini paling terkenal terlihat dalam insiden Sunburst, di mana SolarWinds tanpa sadar memberikan batu loncatan ke jaringan pemerintah AS.
Penasihat ini mendokumentasikan penggunaan berbagai kerentanan yang diungkapkan secara publik oleh Cozy Bear dalam beragam produk pemasok untuk melayani intrusinya.
Beberapa dari masalah ini sudah ada sejak lima tahun yang lalu dan semuanya telah terungkap dan diperbaiki. Secara kolektif, mereka memungkinkan berbagai skenario serangan.
Yang menjadi perhatian khusus akhir-akhir ini adalah dua terbitan yang diberi sebutan CVE-2022-27924 dan CVE-2023-42793.
Yang pertama adalah kerentanan injeksi perintah di Zimbra yang memungkinkan pengguna yang tidak diautentikasi memasukkan perintah arbitrer ke dalam instance yang ditargetkan, menyebabkan penimpaan entri cache yang arbitrer. Cozy Bear telah mengeksploitasinya dalam skala besar di ratusan domain di seluruh dunia dan menggunakannya untuk mengakses kredensial pengguna dan kotak surat tanpa harus berinteraksi dengan korbannya.
Yang kedua adalah kelemahan eksekusi kode arbitrer di JetBrains TeamCity yang muncul karena penanganan tidak aman ke jalur tertentu yang memungkinkan bypass otentikasi.
Para mitra mengatakan bahwa berdasarkan taktik, teknik, dan prosedur (TTP) Cozy Bear yang diketahui serta penargetan sebelumnya, operasi tersebut memiliki kemampuan dan minat dalam mengeksploitasi CVE tambahan untuk akses awal, eksekusi kode jarak jauh, dan peningkatan hak istimewa.
