Author: Akmal U

Penemuan terbaru tentang serangan rantai pasokan website yang memanfaatkan domain cdn.polyfill.io telah membuat banyak situs web rentan terhadap injeksi kode berbahaya. Domain yang sebelumnya merupakan sumber tepercaya untuk menambahkan polyfill JavaScript ke situs web ini telah menjadi pusat dari serangan rantai pasokan yang signifikan. Hingga saat ini, diperkirakan serangan ini telah menargetkan lebih dari 100.000 situs web, termasuk merek-merek terkenal. Di Imperva, kami menyadari pentingnya melindungi dari serangan semacam ini, yang dapat mengancam keamanan seluruh situs web dan penggunanya. Setelah mengetahui sifat dan skala serangan yang mengkhawatirkan ini, kami segera mengambil tindakan untuk memastikan keselamatan dan keamanan pelanggan kami serta pengguna mereka. Bagaimana Serangan Ini Terjadi Funnell, sebuah perusahaan dari Tiongkok, telah mengakuisisi domain polyfill[.]io. Setelah akuisisi tersebut, Funnell mulai menyisipkan kode berbahaya ke dalam skrip yang disajikan kepada pengguna akhir. Hingga saat ini, lebih dari 100.000 situs telah terpengaruh. Ketika para pengembang menyertakan skrip cdn.polyfill[.]io dalam situs web mereka, kode tersebut diambil langsung dari situs yang dimiliki oleh Funnell. Kode ini secara dinamis menghasilkan payload berdasarkan header HTTP, secara khusus menargetkan perangkat mobile, menghindari deteksi, menghindari pengguna admin, dan menunda eksekusi. Skrip berbahaya sering kali mencakup tautan Google Analytics palsu, yang mengarahkan pengguna ke berbagai situs yang tidak pantas, penipuan, atau phishing, yang dapat menyebabkan pencurian data. Domain berbahaya menggunakan taktik penghindaran canggih, termasuk perlindungan terhadap rekayasa balik, hanya aktif pada perangkat mobile tertentu pada waktu tertentu, dan menghindari eksekusi ketika mendeteksi pengguna admin atau layanan analitik web. Meskipun domain polyfill[.]io telah ditangguhkan oleh registrar-nya dan tidak dapat lagi mengarahkan pengguna ke situs berbahaya, kami percaya bahwa masih penting untuk menghapus semua skrip terkait guna menjaga praktik keamanan terbaik. Tanggapan Segera dari Imperva Solusi Perlindungan Client-Side kami dengan cepat mengidentifikasi pelanggan dan situs web tertentu yang memiliki domain yang terkompromi dalam basis kode mereka. Imperva Client-Side Protection membantu mendeteksi ancaman semacam ini dan memberikan tindakan segera untuk mengurangi risiko. Jika Anda adalah pelanggan Imperva yang saat ini menggunakan Perlindungan Client-Side dengan Pemblokiran Instan diaktifkan, Anda sudah terlindungi dari serangan ini. Bagi pelanggan Perlindungan Client-Side yang belum mengaktifkan fitur ini, Anda dapat menemukan panduan cepat tentang cara mengaktifkannya di sini. Cara Melindungi Situs Web Anda Bergabung dengan Perlindungan Client-Side Imperva: Dapatkan visibilitas dan kontrol terhadap semua domain dan skrip di sisi klien Anda dengan bergabung ke Perlindungan Client-Side. Visibilitas ini memungkinkan Anda untuk mengelola dan memantau komponen situs web Anda secara proaktif, memastikan bahwa domain yang berpotensi berbahaya dapat diidentifikasi dan ditangani dengan cepat. Katalog Domain Anda: Pertahankan katalog semua domain yang digunakan dalam kode sisi klien Anda untuk mempermudah respons cepat terhadap ancaman keamanan. Dengan memiliki daftar yang diperbarui dari domain ini, Anda dapat merespons dengan cepat jika suatu domain berbahaya ditemukan di masa depan. Pendekatan proaktif ini memungkinkan Anda mengurangi risiko dengan cepat dan melindungi pengguna Anda secara efektif. Periksa Basis Kode Anda: Tinjau kode sisi klien situs web Anda untuk mengidentifikasi setiap instance dari Polyfill[.]io, cdn.polyfill[.]io, atau www.googie-analytics[.]com. Hapus Domain-Domain Tersebut: Setelah diidentifikasi, segera hapus domain-domain ini dari basis kode Anda dan ganti dengan alternatif yang aman. Atur Peringatan: Tetap terinformasi tentang domain yang baru ditemukan dengan mengaktifkan peringatan melalui email, SIEM, atau API publik. Bagi pelanggan Imperva yang belum menggunakan Perlindungan Client-Side, mulailah uji coba gratis hari ini untuk mengetahui apakah situs Anda rentan. Komitmen Kami Terhadap Keamanan Sebagai langkah proaktif, organisasi dukungan kami aktif bekerja dengan tim teknik Perlindungan Client-Side untuk memberi tahu dan membantu semua pelanggan yang terdaftar dalam daftar domain yang terkompromi. Tujuan kami adalah memastikan setiap pemilik situs web memahami urgensi penghapusan domain-domain ini untuk melindungi pengguna mereka dan menjaga integritas kehadiran online mereka. Menjamin keamanan situs web dan pengunjungnya adalah hal yang penting. Menghapus dan mengganti domain yang terkompromi secara proaktif melindungi pengguna Anda dan menjaga reputasi Anda sebagai kehadiran online yang tepercaya. Imperva berkomitmen untuk mendukung pelanggan kami melalui proses ini, dan kami mendorong tindakan segera untuk mengurangi potensi risiko. Bersama-sama, kita dapat melawan ancaman dan menciptakan lingkungan digital yang lebih aman. Melindungi dari Skrip Berbahaya di Sisi Klien dengan Perlindungan Client-Side Imperva Perlindungan Client-Side Imperva mencegah pencurian data dari serangan sisi klien seperti formjacking, Magecart, dan teknik skimming online lainnya yang sering mengeksploitasi kerentanan dalam rantai pasokan situs web. Ini mengurangi risiko data sensitif pelanggan Anda jatuh ke tangan pelaku jahat, yang dapat mengakibatkan pelanggaran data yang menghancurkan dan mahal. Dengan menyediakan visibilitas yang jelas dengan wawasan yang dapat ditindaklanjuti dan kontrol yang mudah, Imperva memberdayakan tim keamanan Anda untuk dengan mudah menentukan sifat setiap sumber daya sisi klien dan memblokir yang tidak disetujui. Perlindungan Client-Side Imperva juga memastikan organisasi Anda memenuhi standar kepatuhan terbaru, termasuk yang ada dalam PCI DSS 4.0. Dengan memanfaatkan kemampuan canggih Imperva, Anda dapat melindungi aset digital Anda dari serangan rantai pasokan yang canggih, memastikan data pelanggan Anda tetap aman dan operasi bisnis Anda tidak terganggu. Ingin tahu lebih banyak mengenai imperva, silahkan hubungi imperva@ilogoindonesia.id

ServiceNow adalah platform yang sangat penting untuk manajemen layanan TI, dan keamanannya menjadi prioritas utama bagi bisnis yang bergantung pada platform ini untuk menjalankan operasional mereka. Baru-baru ini, ditemukan kerentanan kritis yang dapat memungkinkan penyerang untuk mengakses semua data dalam instance ServiceNow. Kerentanan ini, yang teridentifikasi sebagai CVE-2024-4879, memiliki skor CVSS awal sebesar 9,3 dan dapat digabungkan dengan dua kerentanan lainnya (CVE-2024-5178 dan CVE-2024-5217) untuk melakukan eksekusi kode jarak jauh tanpa autentikasi. Saat ini, PoC (Proof of Concept) tersedia hanya untuk kerentanan pertama. Pelanggan Imperva secara otomatis terlindungi dari kerentanan ini. Teruslah membaca untuk mendapatkan informasi lebih lanjut tentang bug ini dan langkah-langkah tambahan yang dapat Anda ambil untuk melindungi data Anda. Gambaran Umum Kerentanan Peneliti telah mengidentifikasi rangkaian tiga kerentanan yang, jika digunakan secara bersamaan, dapat memberikan akses tidak sah ke seluruh data dalam instance ServiceNow. Kerentanan ini berdampak pada banyak situs ServiceNow di berbagai industri, menegaskan pentingnya langkah cepat untuk melindungi lingkungan tersebut. Penjelasan Tiga Kerentanan CVE-2024-4879: Bypass Autentikasi Kerentanan pertama memungkinkan penyerang melewati proses autentikasi, sehingga mendapatkan akses yang tidak sah ke platform ServiceNow. Dengan mengeksploitasi kelemahan ini, penyerang dapat menjalankan kode dari jarak jauh pada platform tersebut. CVE-2024-5178: Kenaikan Hak Istimewa Kerentanan kedua memungkinkan penyerang untuk meningkatkan hak istimewa mereka dalam lingkungan ServiceNow. Bug ini sangat berbahaya karena memberikan akses administratif kepada penyerang, mempermudah manipulasi data dan pengaturan sistem. CVE-2024-5217: Akses Data Sembarangan Kerentanan ketiga memungkinkan penyerang untuk mengakses data secara sembarangan, memberi mereka kemampuan untuk melihat dan mengekstrak data apa pun yang tersimpan di dalam instance ServiceNow. Ini mencakup informasi rahasia, data pelanggan, dan komunikasi internal, yang dapat mengancam privasi data dan operasi bisnis. Dampak pada Situs yang Terkena Eksploitasi terhadap kerentanan ini telah terpantau di lebih dari 6.000 situs di berbagai industri, dengan penekanan pada sektor jasa keuangan. Para penyerang umumnya memanfaatkan alat otomatis untuk menargetkan halaman login. Kami mengidentifikasi dua jenis payload yang sering digunakan dalam serangan ini: satu untuk menguji kemungkinan eksekusi kode jarak jauh (RCE), dan yang lainnya untuk menampilkan pengguna dan kata sandi basis data. Risiko terhadap pelanggaran data dan akses tidak sah ke informasi sensitif menegaskan pentingnya penanganan segera terhadap masalah ini. Strategi Mitigasi dan Perlindungan Pelanggan Imperva sudah mendapatkan perlindungan otomatis terhadap kerentanan ini. Namun, ada baiknya untuk menerapkan langkah-langkah keamanan tambahan, seperti: Pembaruan dan Patching: ServiceNow telah menyediakan patch untuk mengatasi kerentanan ini. Pastikan semua instance ServiceNow Anda diperbarui dengan patch keamanan terbaru. Lakukan pengecekan dan penerapan pembaruan secara berkala untuk menjaga keamanan sistem Anda. Pantau dan Audit Akses: Secara rutin, pantau dan audit log akses untuk mendeteksi aktivitas yang mencurigakan atau tidak sah. Atur pemberitahuan untuk upaya login yang mencurigakan dan lakukan investigasi segera untuk mencegah potensi pelanggaran. Edukasi dan Latihan Staf: Berikan edukasi kepada staf mengenai pentingnya keamanan dan risiko spesifik yang terkait dengan kerentanan ini. Selenggarakan sesi pelatihan secara teratur untuk memastikan bahwa seluruh karyawan memahami praktik terbaik dalam menjaga keamanan lingkungan ServiceNow. Kesimpulan Penemuan kerentanan kritis terbaru di ServiceNow menegaskan betapa pentingnya kewaspadaan dan langkah-langkah keamanan yang proaktif. Dengan memahami kerentanan ini dan menerapkan strategi perlindungan yang disarankan, Anda dapat melindungi data Anda serta memastikan integritas sistem ServiceNow Anda tetap terjaga. Selalu perbarui informasi Anda, jaga keamanan, dan segera ambil langkah untuk melindungi bisnis Anda dari potensi ancaman. Berlangganan laporan Intelijen Ancaman mingguan kami untuk mendapatkan informasi terkini tentang ancaman keamanan siber dan praktik terbaik. Tetap unggul dan pastikan keamanan data Anda terjaga! Ingin tahu lebih banyak mengenai imperva, silahkan hubungi imperva@ilogoindonesia.id