CISA Memperingatkan Temuan Kerentanan Keamanan Dengan Tingkat Keparahan Critical dalam Eksploitasi Memungkinkan Pengambilalihan Akun.
Menurut CISA, kerentanan keamanan critical di Gitlab sedang diserang secara aktif. Hal ini memungkinkan pelaku kejahatan untuk mengirim email pengaturan ulang kata sandi untuk akun mana pun ke alamat email pilihan mereka, sehingga membuka jalan bagi pelaku kejahatan dalam pengambilalihan akun.
“Ini akan memungkinkan penyerang untuk mengatur ulang kata sandi seolah-olah mereka adalah pengguna yang secara sah lupa kata sandinya,” kata Erich Kron, advokat security awareness di KnowBe4. “Dari sana, akun itu akan menjadi milik pelaku kejahatan.”
Lebih lanjut, Kron memperingatkan bahwa jika musuh memilih untuk mengubah alamat email terkait yang sah untuk akun GitLab yang telah mereka infiltrasi, mereka dapat menghalangi pemilik akun yang sah untuk dapat masuk atau menggunakan fungsi pemulihan kata sandi untuk mengubahnya kembali.
CISA menambahkan kerentanan ini ke katalog Kerentanan Eksploitasi yang Diketahui (Known Exploited Vulnerabilities (KEV)) sebagai “GitLab Community and Enterprise Editions Improper Access Control Vulnerability” dengan kode CVE-2023-7028. Badan tersebut mencatat bahwa bug tersebut memiliki tingkat keparahan maksimum dengan skor tingkat keparahan kerentanan 10 dari 10 CVSS, dan mengharuskan lembaga Cabang Eksekutif Sipil Federal (FCEB) untuk memulihkan jaringan FCEB terhadap ancaman aktif.
Sajeeb Lohani, direktur senior keamanan siber di Bugcrowd, mengatakan bahwa terdapat eksploitasi pada aplikasi open source lainnya sehingga para penyerang diharapkan tidak hanya berpaku pada kerentanan ini saja.
“Karena eksploitasi itu sendiri cukup sederhana untuk dilakukan, maka batasan untuk masuk dalam eksploitasi tersebut rendah, yang berarti hacker yang kurang terampil juga akan dapat mengeksploitasi masalah ini,” katanya.
CVE-2023-7028: Risk of Proprietary Data, Code Theft
David Brumley, profesor keamanan siber di Carnegie Mellon dan CEO ForAllSecure, menjelaskan bahwa risikonya besar bagi organisasi karena GitLab menyimpan kode sumber dan data kepemilikan.
“Selalu ada risiko penyerang memasukkan kode berbahaya ke dalam rantai pasokan, namun hal ini mengharuskan perubahan tersebut tidak ditandai di tempat lain,” jelasnya. “Meskipun eksfiltrasi data biasanya tidak akan mengalami pemeriksaan lain, inti dari platform kontrol sumber adalah Anda dapat dengan mudah mentransfer kode masuk dan keluar ke mesin lokal.”
Dia merekomendasikan agar organisasi yang mengelola penerapan GitLab mereka sendiri harus memastikan bahwa mereka memiliki rencana untuk meningkatkan ke versi yang dipatch jika mereka belum melakukannya.
“Jika hal ini tidak bisa segera dilakukan, maka mitigasi harus dilakukan,” ujarnya. “Anda perlu memastikan bahwa Anda memiliki rotasi kata sandi yang teratur atau menggunakan penyedia identitas terpisah untuk otentikasi.”
Organisasi yang lebih besar mungkin juga ingin mempertimbangkan tools yang dapat mengidentifikasi aktivitas anomali berdasarkan tindakan pengguna dimana dapat menandai akun yang disusupi untuk dikarantina.
MFA, Zero Trust Adalah Penghitung yang Efektif
Pertahanan terhadap serangan-serangan semacam ini kembali ke dasar-dasar keamanan. Misalnya, Kron menyarankan bahwa salah satu cara paling efektif untuk melawan serangan seperti perubahan kata sandi yang tidak sah adalah penggunaan autentikasi multifaktor (MFA).
Dia menambahkan bahwa meskipun MFA tidak dapat diretas, hal ini dapat menambah kerumitan pada proses pengambilalihan akun sehingga pelaku kejahatan bisa saja gagal.
“Bahkan jika mereka bisa mereset kata sandi Anda, mereka tidak akan bisa login tanpa faktor kedua,” katanya. “Hal ini dapat mencegah mereka mengubah alamat email pemulihan, sehingga membuat mereka tidak dapat mengunci pemilik akun yang sah.”
Patrick Tiquet, wakil presiden keamanan dan arsitektur di Keeper Security, mencatat bahwa metode paling efektif untuk mencegah serangan siber berbasis akun adalah dengan berinvestasi dalam arsitektur zero-trust and zero-knowledge cybersecurity yang akan membatasi atau bahkan mencegah akses aktor jahat.
Dia juga mengatakan solusi manajemen akses istimewa (PAM) sangat penting bagi administrator TI dan personel keamanan untuk mengelola dan mengamankan kredensial yang memiliki hak istimewa dan memastikan akses dengan hak paling rendah.
“Selain itu, strategi manajemen patch setiap organisasi harus memiliki jalur cepat terhadap kerentanan kritis dengan kemungkinan tingkat keparahan yang tinggi – seperti ini – untuk memastikan mereka dapat segera mengambil tindakan,” kata Tiquet.
Sumber = Dark Reading