Pendahuluan: Kecepatan Eksploitasi, Perlunya Keamanan Otomatis
Ketika sebuah kerentanan zero-day ditemukan, risiko eksploitasi langsung menjadi ancaman serius—terutama untuk platform penting seperti Microsoft SharePoint. ToolShell, alias CVE-2025-53770, mengizinkan penyerang mengeksekusi kode tanpa autentikasi pada server SharePoint di lingkungan on-premise. Kerentanan ini telah digunakan dalam serangan nyata sebelum patch tersedia—menjadi alarm kewaspadaan bagi organisasi global.
Imperva sebagai vendor keamanan aplikasi bereaksi cepat dengan memperbarui Web Application Firewall (WAF) mereka, mencakup aturan khusus untuk mendeteksi payload unsafe dan perilaku web shell terkait ToolShell. Artikel ini menjelaskan mekanisme, dampak global, dan tindakan mitigasi utama yang dapat diterapkan oleh organisasi.
Menelusuri ToolShell & Risiko yang Ditimbulkannya
- Skor Keparahan Tinggi—CVSS 9,8
Kerentanan deserialisasi ini memungkinkan eksekusi kode dari jarak jauh, tanpa autentikasi. Target utamanya adalah SharePoint Server 2016, 2019, dan Subscription Edition yang belum di-patch. - Serangan Aktif Dalam Skala Besar
Imperva mencatat lebih dari 60.000 serangan dalam satu hari, menyasar ribuan situs di 34 negara, dengan sekitar 50% target berada di Amerika Serikat. - Chain Eksploitasi “ToolShell”
Biasanya, penyerang menggabungkan kerentanan lama seperti CVE-2025-49704 dan CVE-2025-49706 dalam urutan serangan, memanfaatkan deserialization, web shell, dan pencurian machine key untuk menjaga akses. - Aktivitas Pasca-Eksploitasi
Payload menggunakan System.DelegateSerializationHolder untuk menjalankan PowerShell terenkripsi—mengumpulkan output seperti ipconfig, mengenkripsi-nya, dan mengirim ke server attacker—tanpa interaksi pengguna.
Langkah Perlindungan Otomatis dari Imperva
- Web Application Firewall yang Adaptif
Pelanggan Imperva secara otomatis terlindungi melalui aturan WAF khusus yang menanggulangi payload deserialisasi berbahaya dan perilaku web shell “ToolShell”. - Pertahanan Multilapis
WAF menangkal serangan sejak tahap awal, mencegah infiltrasi, sementara audit log dan rotasi machine key memperkuat pertahanan jangka panjang.
Rekomendasi Tindakan Segera
| Langkah Mitigasi | Deskripsi Singkat |
| Patch Segera | Terapkan patch Juli 2025 untuk SharePoint 2016, 2019, dan Subscription |
| Rotasi Machine Keys | Batasi akses web shell dan validasi session kadaluarsa |
| Aktifkan AMSI & Defender AV | Deteksi dan blokir eksekusi script berbahaya |
| Audit Akses ke ToolPane.aspx | Monitor aktivitas mencurigakan pada halaman legacy SharePoint |
| Gunakan WAF / IPS | Blokir pola serangan otomatis (payload, Rate Limiting) |
| Kolaborasi Keamanan Multilayer | Integrasi WAF, IDS, EDR, dan pembaruan reguler sistem adalah kunci |
Kesimpulan: Mengedepankan Proteksi Otomatis dan Respons Cepat
ToolShell adalah pengingat bahwa kerentanan yang dieksploitasi secara cepat menuntut respons yang bahkan lebih cepat. Imperva menyediakan keamanan dini melalui pembaruan WAF real-time, sementara organisasi tetap harus melakukan patch, audit log, dan rotasi kunci. Pendekatan proteksi otomatis dan respons proaktif ini yang membedakan organisasi yang dapat bertahan di era serangan cepat dan canggih.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan imperva indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
