Tag: imperva

Rantai eksekusi kode jarak jauh di Google Chrome, yang memungkinkan seorang penyerang untuk menjalankan kode pada mesin host, dapat dihargai mulai dari $250,000 hingga $500,000. Saat ini, kekuatan seperti ini umumnya hanya tersedia untuk pemerintah dan agen intelijen. Namun, tidak lama yang lalu, kemampuan serupa dapat diakses oleh siapa saja, bahkan script kiddie biasa.   Java Drive-By Ketika saya baru mulai belajar coding dan keamanan pada tahun 2008, saya mempelajari sebuah teknik yang dikenal sebagai “drive-by download,” khususnya “Java drive-by.” Pada saat itu, Anda dapat menyematkan applet Java, yang merupakan aplikasi kecil yang ditulis dalam bahasa pemrograman Java, ke dalam halaman web. Meskipun applet ini dimaksudkan untuk meningkatkan fungsionalitas web, mereka juga memungkinkan penyerang untuk menjalankan kode sembarangan pada mesin pengguna. Applet yang ditandatangani, dibandingkan dengan yang tidak ditandatangani, berbeda secara signifikan dalam hal sandbox keamanan dan tingkat hak aksesnya. Secara sederhana, applet yang ditandatangani dapat beroperasi dengan tingkat akses yang sama seperti aplikasi desktop, meskipun mereka dijalankan di dalam browser. Namun, tanda tangan tersebut tidak diverifikasi karena tidak memiliki dukungan dari otoritas sertifikat terpercaya. Hal ini menyebabkan munculnya popup peringatan keamanan, yang memberikan pengguna setidaknya 50% kemungkinan untuk membuat pilihan yang salah. Mengklik tombol “jalankan” dapat langsung membahayakan sistem Anda. Ini bukanlah kerentanannya, ini hanya ide yang buruk.   JavaScript Drive-By Pada tahun 2022, saya mulai mempelajari File System Access API. API ini memungkinkan situs web untuk membaca dan menulis ke file yang dipilih oleh pengguna, dengan beberapa pengecualian penting seperti file sistem yang dianggap oleh Chrome. Saya bahkan melaporkan satu kerentanan terkait cara API ini menangani tautan simbolik (symlink), yang kemudian diperbaiki oleh Google. Namun, meskipun kerentanannya telah diperbaiki, sesuatu masih mengganggu saya. API ini terlalu kuat. Untuk memahami mengapa, kita harus terlebih dahulu memahami batasan keamanan sistem operasi. API ini melewati mekanisme keamanan Windows dan macOS, tetapi untuk tujuan tulisan ini, saya akan fokus pada macOS. Penting untuk dicatat bahwa masalah ini mempengaruhi tidak hanya Google Chrome, tetapi juga semua browser berbasis Chromium, seperti Microsoft Edge, Brave, dan Opera, karena mereka semua berbagi arsitektur dan API yang sama. Gatekeeper Gatekeeper di macOS adalah fitur keamanan yang mencegah pengguna menjalankan perangkat lunak yang tidak dipercaya. Fitur ini melibatkan tiga langkah utama: Quarantine File: Diperkenalkan pada 2007, memberikan peringatan kepada pengguna sebelum mengeksekusi file yang diunduh dari internet. Gatekeeper: Dibangun di atas Quarantine File pada OSX Lion (10.7), memeriksa apakah aplikasi yang diunduh berasal dari pengembang yang teridentifikasi, dan memblokir aplikasi yang tidak teridentifikasi. Notarisasi: Diperkenalkan pada macOS Catalina (10.15), mengharuskan aplikasi untuk dipindai dan disetujui oleh Apple sebelum dijalankan. Selain itu, macOS juga memiliki App Sandbox untuk membatasi akses aplikasi ke sumber daya sistem dan data pengguna. Browser Chrome tidak menggunakan fitur sandbox ini, yang menjadi alasan mengapa File System Access API bisa sangat berbahaya. Ketika pengguna berinteraksi dengan situs web yang menggunakan File System Access API, mereka diminta untuk menyetujui akses tulis. Pada titik ini, pengguna menjadi satu-satunya garis pertahanan. Jika mereka secara keliru memberikan akses ke file yang salah, semua batasan keamanan sebelumnya akan dilewati. Meskipun File System Access API dengan benar menambahkan atribut com.apple.quarantine, yang menunjukkan bahwa file tersebut diunduh dari internet dan tidak boleh dipercaya, keterbatasan dari Gatekeeper macOS adalah bahwa ia tidak memeriksa kembali binary ini ketika dijalankan oleh aplikasi lain, yang dalam hal ini adalah Google Chrome itu sendiri. Ini mengingatkan saya pada masa lalu dengan Java drive-by download, di mana satu klik salah bisa menyebabkan sistem Anda terkompromi.   Mengabaikan Daftar Blokir Chrome Chrome memang membatasi akses tulis ke file dan direktori berdasarkan daftar blokir. Namun, saya menemukan bahwa jika pengguna menarik dan melepaskan file, Chrome tampaknya tidak memeriksanya terhadap daftar blokir. Namun, saya rasa perbaikan terhadap bypass ini tidak akan menyelesaikan masalah mendasar dengan File System Access API. Ada terlalu banyak file yang bisa ditimpa untuk mendapatkan eksekusi kode, dan Anda akan selalu melewatkan satu. Mirip dengan applet Java, tidak ada kerentanannya yang bisa ditunjukkan, jadi sisa tulisan ini akan berfokus pada bagaimana File System Access API bisa disalahgunakan untuk meretas orang. Eksploitasi & Symlink Eksploitasi yang sukses bergantung pada kemampuan kita untuk meyakinkan pengguna untuk memberikan akses tulis ke file target tertentu. Banyak file yang bisa dimanfaatkan untuk mencapai eksekusi kode, tetapi favorit saya adalah Google Chrome Helper. Google Chrome Helper bertindak sebagai perantara antara Chrome dan plugin yang diinstal, memfasilitasi operasional mereka dengan meluncurkan proses untuk konten eksternal seperti pemutar video, ekstensi, atau konten tertanam. Ketika beberapa aksi dilakukan, seperti perintah window.print(), proses Google Chrome Helper mungkin dibuat untuk mengelola interaksi dan sumber daya eksternal yang diperlukan untuk aksi tersebut. Itulah sebabnya menimpa file ini memberi kita eksekusi kode segera. Langkah selanjutnya adalah membuat cerita yang meyakinkan atau alasan agar pengguna merasa aman saat memberikan akses ini. Metode terbaik yang saya temukan melibatkan penggunaan symlink – yang pada dasarnya adalah penunjuk yang mengarahkan ke file atau direktori lain. Symlink sangat ideal untuk tujuan ini karena kebanyakan orang tidak mengerti apa itu, dan bahkan mereka yang tahu sering mengabaikannya. Symlink menciptakan ilusi keamanan dari perspektif pengguna. Mudah untuk berasumsi bahwa tidak ada yang berisiko: “Saya hanya memberikan situs web akses tulis ke file yang saya unduh dari situs itu—apa yang bisa salah?”   Bukti Konsep Seiring dengan berkembangnya platform web yang menawarkan aplikasi lebih canggih seperti IDE, editor 3D, dan lainnya, memberikan akses baca dan tulis ke file menjadi semakin diterima. Untuk menunjukkan dampaknya, saya telah mengembangkan dua bukti konsep, dan dengan segala hype seputar AI, saya memilih yang pertama, yaitu situs web yang mengklaim sebagai asisten AI browser, yang bekerja dengan baik dengan file target kita, yaitu “Google Chrome Helper.” PoC kedua adalah IDE berbasis web palsu yang disebut “Evil Code Editor.” Dalam demonstrasi ini, pengguna diminta untuk mengunduh proyek contoh dan membukanya untuk mengenal editor tersebut. Anda bisa menemukan kode untuk kedua PoC di: https://github.com/ron-imperva/javascript-drive-by Seperti yang ditunjukkan dalam video yang menyertai, jika pengguna mengikuti langkah-langkah ini, penyerang bisa menjalankan perintah sewenang-wenang pada mesin mereka. Dalam kasus kami, kami hanya membuka kalkulator, tetapi perintah apa pun dapat dieksekusi di luar Chrome dan sandbox macOS. Satu-satunya kerentanannya…

Dalam lanskap keamanan siber yang terus berkembang, kemunculan model bahasa besar (LLM) telah menghadirkan tantangan dan peluang baru. Penelitian menunjukkan bahwa LLM canggih seperti GPT-4 kini mampu secara mandiri melancarkan serangan siber yang kompleks, termasuk ekstraksi skema basis data secara buta dan injeksi SQL, tanpa pengetahuan sebelumnya tentang kerentanan atau umpan balik manusia. Dalam kasus lain, peneliti mengembangkan alat berbasis AI yang mampu secara mandiri menemukan dan mengeksploitasi kerentanan zero-day dengan tingkat keberhasilan mencapai 53%. Hal ini memunculkan kekhawatiran mendalam tentang bagaimana penyerang, baik yang digerakkan oleh manusia maupun AI, dapat memanfaatkan alat-alat ini untuk melampaui pertahanan tradisional. Bahkan ketika penyerang manusia terlibat, alat berbasis AI secara drastis menurunkan hambatan untuk meluncurkan serangan yang canggih. Dengan teknik seperti jailbreaking atau kueri yang dirancang dengan hati-hati, bahkan penyerang yang tidak terampil dapat menggunakan LLM untuk menghasilkan kode berbahaya, mengotomatiskan langkah-langkah serangan, atau membuat skrip phishing. Dalam beberapa kasus, LLM mungkin secara tidak sengaja memfasilitasi pengiriman muatan berbahaya atau menyarankan kerentanan yang dapat dieksploitasi. Demokratisasi pengetahuan tentang peretasan ini berarti bahwa serangan siber yang kompleks, yang sebelumnya terbatas pada pihak dengan pelatihan tinggi, kini dapat diakses oleh lebih banyak penyerang. Kemampuan AI untuk belajar dari interaksi sebelumnya dan menyesuaikan responsnya membuat upaya pertahanan menjadi semakin sulit. Realitas Serangan yang Dilakukan oleh LLM Kita sedang menyaksikan secara langsung munculnya serangan yang didukung oleh AI. Mulai dari injeksi SQL hingga kebocoran data, serangan berbasis AI ini semakin sering terjadi. Karakteristik serangan ini sangat mengkhawatirkan karena LLM mampu belajar dan beradaptasi dengan cepat, sehingga mekanisme pertahanan tradisional menjadi kurang efektif. Data kami melacak alat AI seperti ChatGPT, Anthropic Claude, Google Gemini, dan lainnya. Setiap klien web modern ini dikonfirmasi melalui perbandingan metadata, alamat IP yang dikenal, dan perilaku untuk memastikan bahwa permintaan tersebut benar-benar berasal dari LLM. Seperti yang telah disebutkan sebelumnya, salah satu metode signifikan yang digunakan penyerang untuk melakukan serangan melalui LLM adalah dengan mengeksploitasi kemampuan browsing LLM seperti ChatGPT melalui kueri yang dirancang dengan cermat. Misalnya, seorang penyerang dapat memanfaatkan fungsi browser.open_url dengan memberikan URL dan parameter berisi konten berbahaya. Meskipun model mungkin mengenali konten tersebut sebagai serangan dan memperingatkan pengguna, model tersebut tetap dapat mengirimkan permintaan ke aplikasi target, sehingga secara efektif melancarkan serangan. Selain itu, berbagai teknik jailbreak memungkinkan penyerang untuk melewati pembatasan dan menggunakan LLM untuk tujuan berbahaya. Teknik-teknik ini bisa sederhana namun efektif, memungkinkan penyerang memanipulasi LLM agar melakukan tindakan yang tidak sah. Rata-rata, kami mendeteksi hampir 700.000 upaya serangan setiap hari, termasuk injeksi SQL, serangan otomatis, eksekusi kode jarak jauh (RCE), dan serangan XSS, yang dilakukan menggunakan alat AI. Meskipun kami tidak dapat memastikan apakah serangan ini dilakukan secara mandiri oleh alat AI atau oleh agen manusia, pelanggan kami terlindungi dari keduanya. Serangan yang bersumber dari ChatGPT terutama berupa upaya kebocoran data yang menargetkan konfigurasi sistem, konfigurasi basis data, dan file cadangan yang mungkin berisi informasi sensitif seperti kunci, informasi tentang sistem internal, dan lainnya. Untuk melindungi diri dari serangan semacam ini, pastikan untuk membatasi aksesibilitas file dan menerapkan kontrol akses yang kuat. Serangan berbasis LLM memiliki jangkauan luas, menyerang situs di lebih dari 100 negara. Serangan ini terutama menargetkan situs Retail, Bisnis, dan Perjalanan yang berbasis di AS dan Kanada. Serangan tersebut sangat beragam, dan kami telah mengidentifikasi berbagai payload yang berbeda. Dalam contoh berikut, payload menggunakan fungsi eval untuk mengeksekusi JavaScript yang secara dinamis membuat elemen <script> dan memuat skrip eksternal dari http://stats.starteceive.tk/sc.js, yang berpotensi digunakan untuk menjalankan tindakan berbahaya. Ini adalah contoh serangan cross-site scripting (XSS), di mana kode berbahaya disuntikkan ke dalam halaman web untuk mengkompromikan keamanannya. Payload lain menargetkan kerentanannya pada Oracle WebLogic Server (CVE-2017-3248), yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode sembarang melalui mesin JavaScript Nashorn. Payload ini menggunakan skrip untuk menghentikan proses yang menjalankan /bin/sh, yang berpotensi mengganggu server. Eksploitasi yang berhasil di sini dapat mengarah pada eksekusi kode jarak jauh (RCE) dan memberikan penyerang kendali penuh atas sistem. Melihat ke Depan Seiring dengan semakin berkembangnya LLM, lanskap keamanan siber pasti akan menghadapi tantangan baru yang lebih kompleks. Kunci untuk tetap unggul dalam menghadapi ancaman ini terletak pada inovasi dan adaptasi yang terus-menerus. Produk Imperva melindungi terhadap serangan dari ChatGPT dan LLM lainnya, dan kami terus melakukan riset dan pengembangan untuk memastikan kami tetap berada di garis depan dalam menghadapi masalah ini. Produk Imperva siap melindungi aset Anda dari peretasan LLM, dan kami berkomitmen untuk memimpin dalam mengembangkan solusi keamanan mutakhir yang dapat mengantisipasi dan menetralkan ancaman terbaru yang ditimbulkan oleh LLM. Meskipun meningkatnya serangan yang dilakukan oleh LLM mewakili pergeseran signifikan dalam domain keamanan siber, hal ini juga memberikan kesempatan untuk mengembangkan mekanisme pertahanan yang lebih tangguh dan canggih. Dengan tetap waspada dan proaktif, kita dapat memastikan bahwa kita siap untuk mempertahankan diri dari taktik yang terus berkembang dari penyerang siber yang memanfaatkan teknologi LLM.

Di masa lalu, para pengelola situs web menghadapi tantangan dari bot seperti spider pencarian Google, yang dengan rajin memindai situs web untuk mengindeks konten dan memberikan hasil pencarian terbaik bagi pengguna. Saat ini, kita menyaksikan kemunculan jenis bot baru: Large Language Models (LLMs) seperti ChatGPT dan Claude. Model AI ini tidak hanya mencari informasi, tetapi juga secara aktif mengumpulkan data dari situs web untuk mendukung pendidikan mereka, menjawab permintaan, dan meningkatkan pelatihan mereka. Sebagai pemilik situs web, muncul pertanyaan: bagaimana Anda mengelola lalu lintas baru ini, dan yang lebih penting, bagaimana Anda dapat merebut kembali kendali atas data Anda? Masalah dengan LLM Scraping LLM (Large Language Models) beroperasi mirip dengan bot Google di masa lalu, tetapi dengan taktik yang jauh lebih agresif. Mereka dapat dengan rakus memindai bahkan bagian-bagian situs Anda yang sudah ditentukan sebagai area terlarang, yang akhirnya membebani server Anda dan meningkatkan biaya operasional. Metode tradisional—seperti menggunakan file robots.txt untuk mengarahkan perilaku bot—semakin tidak efektif, karena banyak bot AI yang mengabaikan arahan tersebut. Di sinilah pentingnya kemampuan terbaru dari Imperva – AI Bot Classification and Management for Cloud WAF: kemampuan untuk mengidentifikasi, mengkategorikan, dan memblokir bot AI/scraper di situs Anda. Dengan teknologi kami, Anda tidak hanya dapat melihat siapa yang mengakses konten Anda, tetapi juga memiliki kendali untuk menerapkan aturan akses secara efektif. Memperkenalkan Manajemen Bot AI Pendekatan inovatif kami memungkinkan Anda untuk dengan mudah mengelompokkan bot AI sebagai klasifikasi klien baru, memberikan visibilitas yang jelas terhadap lalu lintas yang mereka hasilkan. Alih-alih menghabiskan waktu berjam-jam untuk mengelola permintaan bot secara individual, Anda dapat membuat aturan komprehensif untuk mengelola bot-bot ini sekaligus berkat kemajuan klasifikasi Bot AI kami. Kemampuan yang efisien ini sangat penting untuk pengelolaan dan keamanan web modern, memastikan Anda yang menentukan bot mana yang dapat mengakses konten Anda. Selain itu, LLM sering membanjiri situs web dengan tingkat permintaan yang tinggi, menyebabkan beban berlebih pada server dan berpotensi mengganggu kinerja. Dengan mengaktifkan fitur pemblokiran di dasbor Cloud WAF Imperva, Anda mendapatkan kendali atas bot LLM mana yang dapat melakukan scraping di situs Anda. Ini memungkinkan Anda untuk mengurangi risiko yang terkait dengan lalu lintas AI yang tidak diinginkan, seperti peningkatan biaya operasional dan penurunan pengalaman pengguna. Dampak Nyata: Kisah Pelanggan Bayangkan salah satu klien kami yang menggunakan kemampuan baru ini. Mereka mengelola banyak situs pemasaran statis, termasuk majalah digital yang berisi konten intelektual. Mereka menghadapi lonjakan biaya yang mengkhawatirkan akibat lalu lintas bot yang agresif, di mana setiap transaksi menambah beberapa sen—jumlah yang tampaknya kecil namun dengan cepat membengkak. Dengan menganalisis pola lalu lintas mereka, mereka menemukan bahwa sebagian besar transaksi ini berasal dari aktivitas scraping AI yang tidak diinginkan. Dengan penerapan Imperva AI Bot Classification and Management, mereka berhasil mengidentifikasi dan memblokir bot-bot berbahaya tersebut, secara drastis mengurangi biaya operasional yang tidak perlu dan mendapatkan kembali kendali atas aksesibilitas situs mereka. Selain menghemat biaya, mereka kini menikmati peningkatan metrik kinerja serta pemahaman yang lebih baik tentang lanskap lalu lintas mereka. Masa Depan Sudah Tiba: Kendalikan Percakapan Seperti halnya bisnis yang beradaptasi untuk mengelola bot mesin pencari tradisional, saat ini sudah saatnya untuk menerima kenyataan tentang scraping konten yang didorong oleh AI. Teknologi kami memungkinkan Anda untuk menentukan aksesibilitas situs Anda sekaligus melindungi kekayaan intelektual dan integritas operasional Anda. Di dunia di mana LLM (Large Language Models) berkembang dengan cepat, kemampuan untuk mengidentifikasi dan mengontrol lalu lintas AI bukan lagi sekadar kemewahan—itu adalah kebutuhan. Perlengkapi bisnis Anda dengan kekuatan untuk mengelola scraping AI dengan percaya diri. Ucapkan selamat tinggal pada ketidakpastian dan sambut sistem yang tangguh yang dirancang untuk lanskap web modern. Dengan memanfaatkan kemampuan AI Bot Classification and Management yang inovatif, Anda tidak hanya melindungi situs Anda; Anda juga memposisikan bisnis Anda secara strategis untuk masa depan. Apakah Anda siap untuk mengendalikan?

Serangan siber merupakan salah satu ancaman paling berat yang dihadapi bisnis saat ini. Selain jumlah kejahatan siber yang terus meningkat, tingkat kecanggihan, bahaya, dan biaya yang didorong oleh teknologi AI/ML juga semakin tinggi. Secara global, diperkirakan kejahatan siber akan menyebabkan kerugian lebih dari $24 triliun pada tahun 2027. Meskipun ancaman ini sangat besar dan terus berkembang, ada kabar baik bahwa titik-titik lemah dalam keamanan—seperti kerentanan dan celah serangan—dapat dikurangi dan dikendalikan. Namun, memperkuat keamanan kini lebih terkait dengan data Anda. Banyak organisasi fokus pada keamanan perimeter dan jaringan untuk meminimalkan risiko. Dengan meningkatnya adopsi komputasi awan dan frekuensi ancaman dari dalam, pendekatan dari luar ke dalam ini tidak lagi efektif. Pendekatan yang lebih baik adalah memindahkan fokus ke lokasi data bisnis paling sensitif dan kritis Anda, menciptakan pandangan yang lebih akurat tentang postur risiko Anda. Keamanan siber pada tingkat data melindungi informasi itu sendiri, sementara keamanan siber pada tingkat jaringan melindungi infrastruktur yang mengalirkan data. Saat ini, sebagian besar organisasi tidak mengetahui di mana data kritis mereka berada atau tingkat risikonya. Inilah alasan mengapa Imperva, perusahaan yang tergabung dengan Thales, berfokus membantu perusahaan mengidentifikasi data kritis dan risiko terkait secara efisien. Setelah dasar intelijen data ini terbentuk, organisasi dapat lebih memahami risiko yang paling mendesak, mengambil tindakan untuk melindungi data, menyederhanakan proses audit, dan memastikan kepatuhan terhadap regulasi. Teruslah Mengembangkan Alat Keamanan Anda Seiring para penjahat siber memanfaatkan inovasi terbaru, Anda juga harus tetap mengikuti perkembangan. Oleh karena itu, Imperva menghadirkan evolusi terbaru dalam fungsi keamanan yang dikenal sebagai Data Risk Intelligence, yang akan segera menjadi kemampuan penting dari Imperva Data Security Fabric (DSF). Solusi Data Risk Intelligence dari Imperva menangani realitas bahwa sebagian besar tim data tidak memiliki gambaran menyeluruh tentang profil risiko mereka karena informasi tersebar di berbagai repositori silo di seluruh lingkungan data, mencakup terlalu banyak vendor, produk, dan konsol. DSF Data Risk Intelligence menyediakan pandangan terpadu di mana semua informasi risiko data dikumpulkan dan dianalisis untuk memprioritaskan insiden risiko data. Selain itu, Data Risk Intelligence memungkinkan penilaian risiko yang dapat disesuaikan agar selaras dengan kebutuhan bisnis dan toleransi risiko tertentu. Tanpa pengetahuan tentang lokasi informasi risiko data kritis, organisasi seperti mencoba menyusun puzzle tanpa melihat gambar keseluruhannya. Dengan kata lain, tanpa pandangan menyeluruh terhadap lingkungan data Anda, mustahil untuk menciptakan gambaran yang akurat tentang data dan risiko, yang memperburuk titik-titik lemah keamanan. DSF Data Risk Intelligence dirancang untuk membantu organisasi mengungkap titik-titik lemah ini dan menentukan tingkat kepentingannya dalam seluruh lingkungan data, disertai dengan rekomendasi prioritas yang dapat ditindaklanjuti untuk mengurangi risiko. Pikirkan Ini… “Anda tidak bisa menyelesaikan masalah yang tidak Anda ketahui. Namun, Anda juga mungkin tidak fokus pada suatu masalah karena tidak tahu seberapa besar dampaknya.” Peringatan (alerts) memang membantu. Tapi, bagaimana Anda bisa mengetahui bahwa satu peringatan lebih penting daripada yang lain? Sebagai contoh, pertimbangkan Rob Turnis, seorang ahli keamanan data di sektor keuangan. Rob memahami bahwa langkah dasar untuk meningkatkan keamanan siber “bermula dari melindungi data.” Untuk melindungi data, langkah pertama yang diambil Rob adalah mengidentifikasi lokasi semua data kritis di organisasinya. Dengan langkah itu, kini Rob mampu mengamankan lebih dari 1.500 basis data di seluruh organisasinya dan terus meningkatkan alat dan intelijen untuk selalu selangkah lebih maju dari tren ancaman jahat. Peroleh Kejelasan untuk Memprioritaskan Penggunaan Sumber Daya yang Terbatas Pendekatan tradisional yang mengandalkan keamanan perimeter dan jaringan untuk mengurangi risiko data tidak lagi memadai (lihat bagian “Tahukah Anda?” di bawah). Meskipun berguna, keamanan yang berfokus pada perimeter sering kali gagal mendeteksi titik lemah yang rentan, sehingga pandangan terhadap postur risiko organisasi menjadi kabur. Sebagai gantinya, organisasi perlu fokus pada pemahaman lokasi data paling sensitif dan kritis bagi bisnis mereka serta bagaimana pengguna, perangkat, API, dan aplikasi berinteraksi dengan data tersebut. Hasilnya? Visibilitas yang lebih baik terhadap postur data dan tingkat risiko, memungkinkan pengambilan keputusan yang lebih tepat tentang apakah aset sudah “cukup aman” berdasarkan tingkat kritikalitas, klasifikasi, dan toleransi risiko organisasi. Pada akhirnya, organisasi mendapatkan pertahanan yang lebih kokoh. Tahukah Anda? Keamanan jaringan tidak melindungi dari ancaman orang dalam (insider threats). Namun, 83% organisasi melaporkan setidaknya satu serangan dari dalam. Jumlah organisasi yang mengalami 11-20 serangan orang dalam meningkat hingga 5X dari 2023 ke 2024. Keamanan perimeter saja tidak cukup untuk memberikan perlindungan siber yang memadai. DSF Data Risk Intelligence adalah solusi unik yang berorientasi pada masa depan. Dengan memanfaatkan indikator perilaku berbasis AI/ML, indikator berbasis postur, informasi status enkripsi, dan analitik yang disesuaikan, solusi ini mengidentifikasi risiko data paling kritis berdasarkan tingkat keparahan dan kemungkinan terjadi. Hal ini memungkinkan mitigasi risiko secara prioritas, menghindarkan dampak bisnis yang signifikan. Selain itu, solusi ini memberikan rekomendasi untuk menangani risiko utama, sehingga waktu mitigasi menjadi lebih singkat. Sebagai contoh, sebuah perusahaan manufaktur global besar menyadari pentingnya melindungi data sensitif karyawannya, seperti nomor jaminan sosial, gaji, dan informasi kompensasi lainnya. Data kritis ini tersimpan di berbagai basis data di seluruh dunia, menjadikan privasi dan perlindungannya sangat penting. DSF Data Risk Intelligence berhasil mengidentifikasi status enkripsi pada penyimpanan data tersebut, sementara Thales CipherTrust Data Security Platform digunakan untuk menerapkan strategi enkripsi mereka. Keamanan diperkuat lebih lanjut dengan mencegah akses tidak sah ke data sensitif, sehingga mengurangi tingkat risiko untuk perusahaan manufaktur besar tersebut. Perbaiki Postur Risiko Anda Di seluruh dunia, lintas industri, dan untuk perusahaan berbagai ukuran, kerentanan data terus meningkat secara signifikan. Titik lemah dalam keamanan menciptakan jalur masuk yang lebih mudah bagi pelaku kejahatan, tetapi ada solusi untuk mengungkap, mengelola, dan mengurangi risiko dari titik-titik tersebut. Melakukan hal ini adalah langkah mendesak yang harus diambil. Sebagai salah satu industri yang paling sering menjadi target serangan siber, sektor kesehatan menyimpan informasi finansial dan data kesehatan pasien yang dilindungi. Sebuah rumah sakit mengambil langkah untuk melindungi data privasi pasien secara lebih komprehensif dan menjaga kepatuhan terhadap regulasi. Dengan prioritas anggaran keamanan siber TI yang saling bersaing, rumah sakit tersebut pertama-tama mengidentifikasi lokasi informasi paling sensitif mereka dan tingkat risikonya. Tanpa informasi ini, organisasi seperti “terbang dalam kegelapan,” tidak menyadari titik akses mudah yang tersedia untuk serangan ransomware dan ancaman dari dalam. Organisasi harus mengadopsi pendekatan dinamis untuk memahami keseluruhan lingkungan data mereka, profil…

Peringatan Baru Serangan APT29: Eksploitasi Kerentanan Zimbra dan JetBrains Baru-baru ini, badan siber AS dan Inggris mengeluarkan peringatan tentang gelombang serangan baru yang dipimpin oleh peretas APT29 asal Rusia. Kelompok ancaman canggih ini secara aktif mengeksploitasi kerentanan pada Zimbra Collaboration Suite dan JetBrains TeamCity, khususnya CVE-2022-27924 dan CVE-2023-42793, untuk menyerang sistem-sistem kritis. Kerentanan ini memungkinkan peretas mendapatkan akses tidak sah, mencuri data, atau merusak sistem target. Dengan kemampuan teknis yang tinggi, APT29 terus menjadi ancaman signifikan terhadap infrastruktur digital, termasuk organisasi pemerintah dan perusahaan besar. Penting bagi organisasi untuk segera menambal kerentanan ini dan menerapkan langkah-langkah keamanan tambahan, seperti meningkatkan monitoring jaringan dan membatasi akses ke sistem penting. Keamanan proaktif adalah kunci untuk melindungi dari ancaman tingkat lanjut seperti serangan ini. Di Imperva, kami berkomitmen untuk memastikan pelanggan kami tetap terlindungi dari eksploitasi semacam ini. Pelanggan Imperva telah dilindungi dari kerentanan pada Zimbra Collaboration Suite dan JetBrains TeamCity sejak hari pertama. Lanskap Ancaman: Kerentanan Zimbra dan TeamCity APT29, kelompok peretas terkenal yang didukung negara Rusia dan terkait dengan SVR (Layanan Intelijen Luar Negeri Rusia), telah terlibat dalam serangkaian kampanye spionase siber canggih yang menargetkan organisasi pemerintah, perusahaan teknologi, dan infrastruktur penting. Eksploitasi terbaru mereka menargetkan kerentanannya pada platform yang banyak digunakan, Zimbra dan TeamCity: CVE-2022-27924: Kerentanannya pada Zimbra memungkinkan serangan email compromise yang memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk mencuri kredensial login melalui server email yang rentan, yang bisa menyebabkan kompromi sistem secara penuh. Mengeksploitasi kelemahan ini dapat memberikan akses istimewa kepada penyerang untuk email dan komunikasi sensitif, menjadikannya target utama untuk spionase. Kerentanannya ini telah dieksploitasi sejak Agustus 2022 untuk mencuri kredensial akun email. CVE-2023-42793: Kerentanannya pada JetBrains TeamCity adalah cacat arbitrary file read yang memungkinkan penyerang mengakses file sensitif di server. Pelanggaran data sensitif ini dapat digunakan untuk meningkatkan hak akses dan lebih jauh menyusup ke jaringan organisasi, memberikan risiko signifikan terhadap jalur pengembangan (development pipeline). Kerentanannya ini telah dieksploitasi oleh kelompok ransomware dan kelompok peretas dari Korea Utara untuk mendapatkan akses awal dan mencoba serangan rantai pasokan (supply chain attacks). Kerentanannya ini menjadi ancaman besar bagi organisasi yang menggunakan platform tersebut, dan penting bagi perusahaan untuk segera menambal dan mengamankan sistem mereka untuk mencegah eksploitasi lebih lanjut. Apa yang Telah Kami Amati Imperva telah mengamati beberapa serangan yang mencoba mengeksploitasi kerentanannya ini. Untuk Zimbra, kami mencatat beberapa upaya serangan yang menargetkan situs layanan keuangan (FSI), dengan sebagian besar aktivitas terfokus pada 17 Agustus. Serangan ini dilakukan menggunakan bot otomatis yang berasal terutama dari Inggris, dengan tujuan mengeksploitasi kerentanannya pada email compromise. Sebaliknya, serangan yang mengeksploitasi kerentanannya pada JetBrains TeamCity jauh lebih agresif. Kami mendeteksi jutaan permintaan di berbagai industri, termasuk FSI, layanan bisnis, komputasi, dan telekomunikasi. Lalu lintas berbahaya ini datang dari berbagai negara, termasuk AS, Jerman, India, Prancis, dan Rusia, dengan penyerang memanfaatkan bot dan penyamaran browser untuk memaksimalkan efektivitas upaya eksploitasi. Pola-pola ini menunjukkan adanya kampanye yang terkoordinasi dan meluas, dengan fokus pada kompromi CI/CD pipeline dan lingkungan pengembangan sensitif. Serangan ini terutama menargetkan situs yang berbasis di AS, Australia, dan India, terutama di industri FSI dan bisnis. Kami juga mencatat beberapa alamat IP yang tumpang tindih yang kami lihat mengeksploitasi kedua CVE ini, yang mungkin menunjukkan infrastruktur gabungan dari aktor ancaman yang sama. Tetap Terdepan dari APT29 dan Aktor Ancaman Lainnya Dengan semakin agresif dan canggihnya serangan yang didukung negara, melindungi dari eksploitasi terarah seperti CVE-2022-27924 dan CVE-2023-42793 menjadi lebih penting dari sebelumnya. Fokus APT29 pada kompromi Zimbra dan TeamCity menyoroti pentingnya mengamankan layanan operasi perusahaan, termasuk sistem email dan CI/CD pipeline. Dengan memanfaatkan alat keamanan canggih kami, kami dapat memastikan bahwa sistem Anda terlindungi dari eksploitasi oleh musuh yang paling gigih sekalipun. Web Application Firewall (WAF) Imperva menyediakan keamanan siap pakai untuk aplikasi web Anda. WAF kami mendeteksi dan mencegah ancaman siber, memastikan operasi yang lancar dan ketenangan pikiran. Lindungi aset digital Anda dengan solusi Imperva yang tangguh dan terdepan di industri. Kami siap untuk mempertahankan infrastruktur Anda dan menjaga data sensitif Anda tetap aman.

Pendahuluan Saat konferensi G2E (Global Gaming Expo) dimulai di Las Vegas, penting untuk menyoroti peran signifikan keamanan siber dalam industri permainan yang terus berkembang pesat. Dari kasino online hingga eSports, permainan telah berkembang menjadi sebuah perusahaan global yang besar, menjadikannya target utama bagi penjahat siber. Dengan serangan yang bervariasi, mulai dari gangguan DDoS hingga pengambilalihan akun, infrastruktur digital industri ini berada di bawah ancaman konstan. Blog ini akan membahas ancaman siber terbaru yang memengaruhi sektor permainan, taktik yang digunakan oleh penyerang, dan langkah-langkah yang dapat diambil oleh pengembang dan operator untuk melindungi platform mereka. Kenaikan Ancaman Siber di Industri Permainan Industri permainan telah mengalami pertumbuhan eksponensial dalam dekade terakhir, mengukuhkan dirinya sebagai kekuatan dominan di pasar hiburan global. Apa yang dulunya merupakan hobi kecil telah berubah menjadi industri bernilai miliaran dolar, dengan pendapatan yang melampaui sektor film dan musik digabungkan. Menurut laporan terbaru, pasar permainan global diperkirakan akan melebihi $300 miliar pada tahun 2026, didorong oleh meningkatnya permainan mobile, eSports, dan ekspansi platform multiplayer online. Lonjakan popularitas ini telah menarik miliaran pengguna di seluruh dunia, menciptakan jaringan pemain yang luas dan saling terhubung. Namun, pertumbuhan ini juga menarik perhatian yang tidak diinginkan. Dengan basis pengguna yang begitu besar dan kepentingan finansial yang signifikan, industri permainan menjadi target menarik bagi penjahat siber yang ingin mengeksploitasi skala, infrastruktur, dan kerentanan yang ada. Industri permainan menghadirkan kombinasi unik dari faktor-faktor yang membuatnya sangat rentan terhadap serangan siber. Salah satu alasan utamanya adalah volume data pribadi yang besar yang dikumpulkan dari pengguna, termasuk nama, alamat email, informasi kartu kredit, dan bahkan pengidentifikasi pribadi seperti alamat IP. Banyak permainan juga mencakup mata uang dalam permainan atau barang digital berharga, yang sering menjadi target serangan dari pelaku yang mencari keuntungan finansial cepat. Selain itu, prevalensi pemain yang lebih muda, yang mungkin kurang waspada terhadap keamanan online, memberikan peluang besar bagi skema phishing dan serangan rekayasa sosial. Pengguna ini seringkali lebih fokus pada permainan daripada menjaga akun mereka, membuat mereka rentan terhadap pencurian kata sandi, pengambilalihan akun, dan aktivitas jahat lainnya. Munculnya mikrotransaksi, ekonomi digital, dan permainan kompetitif semakin meningkatkan daya tarik bagi penjahat siber, yang melihat ekosistem permainan sebagai target menguntungkan untuk penipuan, pencurian data, dan eksploitasi finansial. Ancaman Siber Umum di Industri Permainan Seiring industri permainan terus berkembang, ia menghadapi serangkaian ancaman siber dari berbagai sudut. Baik pemain maupun pengembang semakin rentan terhadap serangan yang dapat mengganggu gameplay, mengompromikan informasi sensitif, dan merusak kepercayaan pada platform. Berikut adalah beberapa jenis serangan yang paling umum menargetkan sektor permainan. Serangan DDoS Serangan Distributed Denial of Service (DDoS) telah menjadi masalah yang sering dan mengganggu di industri permainan. Serangan ini, yang membanjiri server dengan jumlah lalu lintas yang sangat besar, sering digunakan untuk menutup platform multiplayer, mengganggu kompetisi, atau merusak pengalaman gameplay online bagi jutaan pemain. Serangan DDoS sering diluncurkan oleh pemain yang kecewa atau penjahat siber yang ingin memeras pengembang dan perusahaan permainan untuk meminta tebusan sebagai imbalan untuk menghentikan serangan. Dalam permainan kompetitif, bahkan gangguan singkat dapat menyebabkan kerugian finansial yang signifikan dan frustrasi di kalangan pengguna. Frekuensi tinggi dari serangan ini membuat sangat penting bagi perusahaan permainan untuk berinvestasi dalam strategi mitigasi DDoS yang kuat guna memastikan gameplay yang tidak terputus dan melindungi layanan mereka. Pada paruh pertama tahun 2024, situs permainan mengalami ribuan serangan DDoS. Salah satu serangan mencatat serangan DDoS lapisan aplikasi (L7) terbesar dalam periode tersebut, dengan hampir 5 juta permintaan per detik (RPS) membombardir situs permainan di Indonesia dalam waktu hanya 13 menit. Industri permainan melihat beberapa serangan besar lebih awal di tahun ini, dan serangan mulai meningkat sejak musim panas. Seiring kita mendekati musim liburan, kita dapat mengharapkan serangan meningkat seiring perusahaan mengumumkan peluncuran liburan dan permintaan meningkat. Phishing, Rekayasa Sosial, dan Pengambilalihan Akun Skema phishing dan taktik rekayasa sosial adalah di antara ancaman paling umum yang dihadapi oleh pemain dan pengembang. Penjahat siber dapat menyamar sebagai pengembang game resmi atau tim dukungan, menarik pemain untuk memberikan informasi sensitif seperti kredensial login, rincian kartu kredit, atau akses ke aset dalam game. Dalam banyak kasus, penyerang menggunakan portal login palsu atau kampanye email untuk menipu pengguna agar menyerahkan kata sandi atau rincian pribadi mereka, yang kemudian digunakan untuk mencuri akun atau menjualnya di pasar gelap. Hanya tahun ini, jutaan kredensial yang dicuri dari tempat-tempat seperti Discord, Battlenet, Activision, UnknownCheats, dan pusat permainan online lainnya dikumpulkan oleh malware infostealer yang menargetkan para gamer. Pengembang game juga tidak kebal terhadap taktik ini, karena upaya phishing dapat menargetkan kredensial mereka untuk mendapatkan akses tidak sah ke sistem internal atau platform pengembangan. Serangan ini dapat mengakibatkan pencurian data berharga, konten game yang belum dirilis, atau kekayaan intelektual, yang dapat menyebabkan kerugian signifikan bagi pemain dan perusahaan. Serangan pengambilalihan akun (ATO) juga telah menjadi masalah signifikan di industri permainan, karena akun game yang dicuri sering kali berisi item dalam game yang berharga, mata uang digital, dan informasi pribadi. Penjahat siber sering menggunakan serangan brute force, credential stuffing, atau taktik phishing untuk mengompromikan akun pemain, setelah itu mereka menjual akun tersebut di pasar gelap atau menggunakannya untuk aktivitas penipuan. Pasar gelap untuk akun game sangat menguntungkan, terutama untuk permainan yang memiliki item langka atau karakter tingkat tinggi. Setelah akun terkompromi, memulihkannya bisa menjadi proses yang sulit dan memakan waktu bagi pemain, sering kali melibatkan kehilangan aset digital dan data pribadi. Bagi pengembang, dampak dari pengambilalihan akun yang luas dapat mengakibatkan hilangnya kepercayaan, berkurangnya keterlibatan pemain, dan berita negatif. Rata-rata, industri permainan mengalami hampir 9.000 serangan pengambilalihan akun per hari. Dalam serangan ini, serangan brute force dan credential stuffing menyusun hampir 75% dari total alasan risiko. Tidak mengherankan, bot adalah alat paling populer untuk melakukan serangan ini, meskipun browser menduduki tempat kedua. Serangan Aplikasi Web: Platform permainan sering menjadi target berbagai jenis serangan yang menargetkan aplikasi web. Serangan ini biasanya berusaha mengeksploitasi kerentanan dalam kode aplikasi atau API untuk mendapatkan akses tidak sah atau mengompromikan sistem. Sekitar 7% dari serangan web menargetkan titik akhir API, yang menekankan peran kritis API dalam keamanan siber, karena bahkan persentase kecil pun dapat mengakibatkan kerentanan yang signifikan. Serangan Remote Code Execution…

Penemuan terbaru tentang serangan rantai pasokan website yang memanfaatkan domain cdn.polyfill.io telah membuat banyak situs web rentan terhadap injeksi kode berbahaya. Domain yang sebelumnya merupakan sumber tepercaya untuk menambahkan polyfill JavaScript ke situs web ini telah menjadi pusat dari serangan rantai pasokan yang signifikan. Hingga saat ini, diperkirakan serangan ini telah menargetkan lebih dari 100.000 situs web, termasuk merek-merek terkenal. Di Imperva, kami menyadari pentingnya melindungi dari serangan semacam ini, yang dapat mengancam keamanan seluruh situs web dan penggunanya. Setelah mengetahui sifat dan skala serangan yang mengkhawatirkan ini, kami segera mengambil tindakan untuk memastikan keselamatan dan keamanan pelanggan kami serta pengguna mereka. Bagaimana Serangan Ini Terjadi Funnell, sebuah perusahaan dari Tiongkok, telah mengakuisisi domain polyfill[.]io. Setelah akuisisi tersebut, Funnell mulai menyisipkan kode berbahaya ke dalam skrip yang disajikan kepada pengguna akhir. Hingga saat ini, lebih dari 100.000 situs telah terpengaruh. Ketika para pengembang menyertakan skrip cdn.polyfill[.]io dalam situs web mereka, kode tersebut diambil langsung dari situs yang dimiliki oleh Funnell. Kode ini secara dinamis menghasilkan payload berdasarkan header HTTP, secara khusus menargetkan perangkat mobile, menghindari deteksi, menghindari pengguna admin, dan menunda eksekusi. Skrip berbahaya sering kali mencakup tautan Google Analytics palsu, yang mengarahkan pengguna ke berbagai situs yang tidak pantas, penipuan, atau phishing, yang dapat menyebabkan pencurian data. Domain berbahaya menggunakan taktik penghindaran canggih, termasuk perlindungan terhadap rekayasa balik, hanya aktif pada perangkat mobile tertentu pada waktu tertentu, dan menghindari eksekusi ketika mendeteksi pengguna admin atau layanan analitik web. Meskipun domain polyfill[.]io telah ditangguhkan oleh registrar-nya dan tidak dapat lagi mengarahkan pengguna ke situs berbahaya, kami percaya bahwa masih penting untuk menghapus semua skrip terkait guna menjaga praktik keamanan terbaik. Tanggapan Segera dari Imperva Solusi Perlindungan Client-Side kami dengan cepat mengidentifikasi pelanggan dan situs web tertentu yang memiliki domain yang terkompromi dalam basis kode mereka. Imperva Client-Side Protection membantu mendeteksi ancaman semacam ini dan memberikan tindakan segera untuk mengurangi risiko. Jika Anda adalah pelanggan Imperva yang saat ini menggunakan Perlindungan Client-Side dengan Pemblokiran Instan diaktifkan, Anda sudah terlindungi dari serangan ini. Bagi pelanggan Perlindungan Client-Side yang belum mengaktifkan fitur ini, Anda dapat menemukan panduan cepat tentang cara mengaktifkannya di sini. Cara Melindungi Situs Web Anda Bergabung dengan Perlindungan Client-Side Imperva: Dapatkan visibilitas dan kontrol terhadap semua domain dan skrip di sisi klien Anda dengan bergabung ke Perlindungan Client-Side. Visibilitas ini memungkinkan Anda untuk mengelola dan memantau komponen situs web Anda secara proaktif, memastikan bahwa domain yang berpotensi berbahaya dapat diidentifikasi dan ditangani dengan cepat. Katalog Domain Anda: Pertahankan katalog semua domain yang digunakan dalam kode sisi klien Anda untuk mempermudah respons cepat terhadap ancaman keamanan. Dengan memiliki daftar yang diperbarui dari domain ini, Anda dapat merespons dengan cepat jika suatu domain berbahaya ditemukan di masa depan. Pendekatan proaktif ini memungkinkan Anda mengurangi risiko dengan cepat dan melindungi pengguna Anda secara efektif. Periksa Basis Kode Anda: Tinjau kode sisi klien situs web Anda untuk mengidentifikasi setiap instance dari Polyfill[.]io, cdn.polyfill[.]io, atau www.googie-analytics[.]com. Hapus Domain-Domain Tersebut: Setelah diidentifikasi, segera hapus domain-domain ini dari basis kode Anda dan ganti dengan alternatif yang aman. Atur Peringatan: Tetap terinformasi tentang domain yang baru ditemukan dengan mengaktifkan peringatan melalui email, SIEM, atau API publik. Bagi pelanggan Imperva yang belum menggunakan Perlindungan Client-Side, mulailah uji coba gratis hari ini untuk mengetahui apakah situs Anda rentan. Komitmen Kami Terhadap Keamanan Sebagai langkah proaktif, organisasi dukungan kami aktif bekerja dengan tim teknik Perlindungan Client-Side untuk memberi tahu dan membantu semua pelanggan yang terdaftar dalam daftar domain yang terkompromi. Tujuan kami adalah memastikan setiap pemilik situs web memahami urgensi penghapusan domain-domain ini untuk melindungi pengguna mereka dan menjaga integritas kehadiran online mereka. Menjamin keamanan situs web dan pengunjungnya adalah hal yang penting. Menghapus dan mengganti domain yang terkompromi secara proaktif melindungi pengguna Anda dan menjaga reputasi Anda sebagai kehadiran online yang tepercaya. Imperva berkomitmen untuk mendukung pelanggan kami melalui proses ini, dan kami mendorong tindakan segera untuk mengurangi potensi risiko. Bersama-sama, kita dapat melawan ancaman dan menciptakan lingkungan digital yang lebih aman. Melindungi dari Skrip Berbahaya di Sisi Klien dengan Perlindungan Client-Side Imperva Perlindungan Client-Side Imperva mencegah pencurian data dari serangan sisi klien seperti formjacking, Magecart, dan teknik skimming online lainnya yang sering mengeksploitasi kerentanan dalam rantai pasokan situs web. Ini mengurangi risiko data sensitif pelanggan Anda jatuh ke tangan pelaku jahat, yang dapat mengakibatkan pelanggaran data yang menghancurkan dan mahal. Dengan menyediakan visibilitas yang jelas dengan wawasan yang dapat ditindaklanjuti dan kontrol yang mudah, Imperva memberdayakan tim keamanan Anda untuk dengan mudah menentukan sifat setiap sumber daya sisi klien dan memblokir yang tidak disetujui. Perlindungan Client-Side Imperva juga memastikan organisasi Anda memenuhi standar kepatuhan terbaru, termasuk yang ada dalam PCI DSS 4.0. Dengan memanfaatkan kemampuan canggih Imperva, Anda dapat melindungi aset digital Anda dari serangan rantai pasokan yang canggih, memastikan data pelanggan Anda tetap aman dan operasi bisnis Anda tidak terganggu. Ingin tahu lebih banyak mengenai imperva, silahkan hubungi imperva@ilogoindonesia.id

ServiceNow adalah platform yang sangat penting untuk manajemen layanan TI, dan keamanannya menjadi prioritas utama bagi bisnis yang bergantung pada platform ini untuk menjalankan operasional mereka. Baru-baru ini, ditemukan kerentanan kritis yang dapat memungkinkan penyerang untuk mengakses semua data dalam instance ServiceNow. Kerentanan ini, yang teridentifikasi sebagai CVE-2024-4879, memiliki skor CVSS awal sebesar 9,3 dan dapat digabungkan dengan dua kerentanan lainnya (CVE-2024-5178 dan CVE-2024-5217) untuk melakukan eksekusi kode jarak jauh tanpa autentikasi. Saat ini, PoC (Proof of Concept) tersedia hanya untuk kerentanan pertama. Pelanggan Imperva secara otomatis terlindungi dari kerentanan ini. Teruslah membaca untuk mendapatkan informasi lebih lanjut tentang bug ini dan langkah-langkah tambahan yang dapat Anda ambil untuk melindungi data Anda. Gambaran Umum Kerentanan Peneliti telah mengidentifikasi rangkaian tiga kerentanan yang, jika digunakan secara bersamaan, dapat memberikan akses tidak sah ke seluruh data dalam instance ServiceNow. Kerentanan ini berdampak pada banyak situs ServiceNow di berbagai industri, menegaskan pentingnya langkah cepat untuk melindungi lingkungan tersebut. Penjelasan Tiga Kerentanan CVE-2024-4879: Bypass Autentikasi Kerentanan pertama memungkinkan penyerang melewati proses autentikasi, sehingga mendapatkan akses yang tidak sah ke platform ServiceNow. Dengan mengeksploitasi kelemahan ini, penyerang dapat menjalankan kode dari jarak jauh pada platform tersebut. CVE-2024-5178: Kenaikan Hak Istimewa Kerentanan kedua memungkinkan penyerang untuk meningkatkan hak istimewa mereka dalam lingkungan ServiceNow. Bug ini sangat berbahaya karena memberikan akses administratif kepada penyerang, mempermudah manipulasi data dan pengaturan sistem. CVE-2024-5217: Akses Data Sembarangan Kerentanan ketiga memungkinkan penyerang untuk mengakses data secara sembarangan, memberi mereka kemampuan untuk melihat dan mengekstrak data apa pun yang tersimpan di dalam instance ServiceNow. Ini mencakup informasi rahasia, data pelanggan, dan komunikasi internal, yang dapat mengancam privasi data dan operasi bisnis. Dampak pada Situs yang Terkena Eksploitasi terhadap kerentanan ini telah terpantau di lebih dari 6.000 situs di berbagai industri, dengan penekanan pada sektor jasa keuangan. Para penyerang umumnya memanfaatkan alat otomatis untuk menargetkan halaman login. Kami mengidentifikasi dua jenis payload yang sering digunakan dalam serangan ini: satu untuk menguji kemungkinan eksekusi kode jarak jauh (RCE), dan yang lainnya untuk menampilkan pengguna dan kata sandi basis data. Risiko terhadap pelanggaran data dan akses tidak sah ke informasi sensitif menegaskan pentingnya penanganan segera terhadap masalah ini. Strategi Mitigasi dan Perlindungan Pelanggan Imperva sudah mendapatkan perlindungan otomatis terhadap kerentanan ini. Namun, ada baiknya untuk menerapkan langkah-langkah keamanan tambahan, seperti: Pembaruan dan Patching: ServiceNow telah menyediakan patch untuk mengatasi kerentanan ini. Pastikan semua instance ServiceNow Anda diperbarui dengan patch keamanan terbaru. Lakukan pengecekan dan penerapan pembaruan secara berkala untuk menjaga keamanan sistem Anda. Pantau dan Audit Akses: Secara rutin, pantau dan audit log akses untuk mendeteksi aktivitas yang mencurigakan atau tidak sah. Atur pemberitahuan untuk upaya login yang mencurigakan dan lakukan investigasi segera untuk mencegah potensi pelanggaran. Edukasi dan Latihan Staf: Berikan edukasi kepada staf mengenai pentingnya keamanan dan risiko spesifik yang terkait dengan kerentanan ini. Selenggarakan sesi pelatihan secara teratur untuk memastikan bahwa seluruh karyawan memahami praktik terbaik dalam menjaga keamanan lingkungan ServiceNow. Kesimpulan Penemuan kerentanan kritis terbaru di ServiceNow menegaskan betapa pentingnya kewaspadaan dan langkah-langkah keamanan yang proaktif. Dengan memahami kerentanan ini dan menerapkan strategi perlindungan yang disarankan, Anda dapat melindungi data Anda serta memastikan integritas sistem ServiceNow Anda tetap terjaga. Selalu perbarui informasi Anda, jaga keamanan, dan segera ambil langkah untuk melindungi bisnis Anda dari potensi ancaman. Berlangganan laporan Intelijen Ancaman mingguan kami untuk mendapatkan informasi terkini tentang ancaman keamanan siber dan praktik terbaik. Tetap unggul dan pastikan keamanan data Anda terjaga! Ingin tahu lebih banyak mengenai imperva, silahkan hubungi imperva@ilogoindonesia.id