Cyberthreat.id – Perusahaan keamanan siber asal Inggris, Sophos, pada Sabtu (25 April 2020) menerbitkan pembaruan keamanan darurat untuk menambal kerentanan nol hari (zero-day) dalam produk XG Firewall-nya karena disalahgunakan di alam liar oleh peretas (hacker).

Sophos mengatakan pertama kali mengetahui tentang zero-day pada Rabu (22 April) malam, setelah menerima laporan dari salah satu pelanggannya.

Setelah menyelidiki laporan itu, Sophos menyatakan, bahwa apa yang dilihat dari laporan pelanggannya adalah serangan aktif dan bukan kesalahan dalam produknya. Peretas menyalahgunakan bug injeksi SQL untuk mencuri kata sandi.

"Serangan itu menggunakan kerentanan injeksi SQL yang sebelumnya tidak diketahui untuk mendapatkan akses ke perangkat XG yang terbuka," kata Sophos seperti dikutip dari ZDNet, Sabtu.

Peretas menargetkan perangkat XG Firewall yang memiliki administrasi (layanan HTTPS) atau panel kontrol “User Portal” terbuka di internet.

Sophos mengatakan para peretas menggunakan kerentanan injeksi SQL untuk mengunduh muatan pada perangkat. Muatan ini kemudian mencuri file dari XG Firewall.

Data yang dicuri dapat mencakup nama pengguna dan kata sandi hash untuk admin perangkat firewall, untuk admin portal firewall, dan akun pengguna yang digunakan untuk akses jarak jauh ke perangkat.

Sophos mengatakan bahwa kata sandi untuk sistem otentikasi eksternal pelanggan lainnya, seperti AD atau LDAP, tidak terpengaruh.

Perusahaan mengatakan bahwa selama penyelidikan, tidak menemukan bukti bahwa peretas menggunakan kata sandi yang dicuri untuk mengakses perangkat XG Firewall, atau apa pun di luar firewall, di jaringan internal pelanggannya.

Perusahaan Inggris, yang terkenal dengan produk antivirusnya, mengatakan telah melakukan pembaruan otomatis untuk menambal semua XG Firewall yang mengaktifkan fitur pembaruan otomatis.

"Perbaikan terbaru ini menghilangkan kerentanan injeksi SQL yang mencegah eksploitasi lebih lanjut, menghentikan XG Firewall dari mengakses infrastruktur penyerang, dan membersihkan sisa-sisa dari serangan itu," kata Sophos.

Pembaruan keamanan juga akan menambahkan kotak khusus di panel kontrol XG Firewall untuk memberi tahu pemilik perangkat jika perangkat mereka telah disusupi.

Untuk perusahaan yang perangkatnya diretas, Sophos merekomendasikan serangkaian langkah, yang meliputi pengaturan ulang kata sandi dan reboot perangkat:

• Atur ulang administrator portal dan akun administrator perangkat
• Restart perangkat XG
• Setel ulang kata sandi untuk semua akun pengguna lokal
• Meskipun kata sandi di-hash, disarankan kata sandi di-reset untuk setiap akun yang kredensial XG-nya mungkin telah digunakan kembali.
• Agar perusahaan menonaktifkan antarmuka administrasi firewall pada port yang menghadap internet jika mereka tidak memerlukan fitur tersebut.[]

Redaktur: Andi Nugroho