Peretasan SolarWinds Kedua Memperdalam Ketakutan Perangkat Lunak Pihak Ketiga


Sudah lebih lebih dari dua bulan sejak pengungkapan yang menuduh peretas yang didukung Rusia membobol perusahaan manajemen TI SolarWinds dan menggunakan akses itu untuk meluncurkan serangan rantai pasokan perangkat lunak besar-besaran. Sekarang tampaknya Rusia tidak sendirian; Reuters melaporkan bahwa tersangka peretas China secara mandiri mengeksploitasi cacat yang berbeda dalam produk SolarWinds tahun lalu pada sekitar waktu yang sama, tampaknya mengenai Pusat Keuangan Nasional Departemen Pertanian AS.

SolarWinds menambal kerentanan pada bulan Desember yang dieksploitasi oleh para peretas China. Tetapi wahyu tersebut menggarisbawahi tugas yang tampaknya mustahil yang dihadapi organisasi dalam menangani tidak hanya masalah keamanan mereka sendiri, tetapi juga potensi eksposur dari perusahaan pihak ketiga yang tak terhitung jumlahnya yang bermitra dengan mereka untuk layanan yang berkisar dari manajemen TI hingga penyimpanan data hingga obrolan kantor. Dalam lanskap yang saling terhubung saat ini, Anda hanya sekuat vendor terlemah Anda.

“Tidak realistis untuk tidak bergantung pada pihak ketiga mana pun,” kata Katie Nickels, direktur intelijen di perusahaan keamanan Red Canary. “Ini tidak realistis dalam cara menjalankan jaringan apa pun. Tapi apa yang kami lihat untuk satu atau dua minggu pertama bahkan setelah pengungkapan SolarWinds awal adalah beberapa organisasi hanya mencoba mencari tahu apakah mereka bahkan menggunakan produk SolarWinds. Jadi saya pikir pergeserannya haruslah untuk mengetahui ketergantungan tersebut dan memahami bagaimana mereka harus dan tidak seharusnya berinteraksi. “

SolarWinds menekankan bahwa tidak seperti peretas Rusia, yang menggunakan akses mereka ke SolarWinds untuk menyusup ke target, peretas Tiongkok mengeksploitasi kerentanan hanya setelah membobol jaringan dengan cara lain. Mereka kemudian menggunakan cacat itu untuk menggali lebih dalam. “Kami mengetahui satu contoh hal ini terjadi dan tidak ada alasan untuk percaya para penyerang ini berada di dalam lingkungan SolarWinds kapan saja,” kata perusahaan itu dalam sebuah pernyataan. “Ini terpisah dari serangan luas dan canggih yang menargetkan beberapa perusahaan perangkat lunak sebagai vektor.” USDA tidak membalas permintaan komentar.

Keberadaan perangkat lunak seperti Microsoft Windows atau, hingga saat ini, Adobe Flash, menjadikannya target populer bagi berbagai peretas. Sebagai perusahaan yang berusia lebih dari dua dekade dan memiliki basis pelanggan yang besar — ​​termasuk sejumlah besar kontrak pemerintah di Amerika Serikat dan luar negeri — SolarWinds sangat masuk akal bagi para peretas untuk mendorong. Tapi SolarWinds juga hanyalah salah satu dari banyak alat perusahaan dan layanan manajemen TI yang perlu dijalankan perusahaan secara konstan dan bersamaan. Masing-masing mewakili potensi terobosan bagi penyerang.

“Saya memiliki ratusan vendor berbeda yang kami gunakan, dari Microsoft, hingga Box, Zoom, Slack, dan seterusnya. Hanya perlu satu, ”kata Marcin Kleczynski, CEO pembuat antivirus Malwarebytes, yang mengungkapkan pada Januari bahwa ia telah menjadi korban dari dugaan pesta peretasan Rusia. “Ini Catch-22. Andalkan satu vendor dan Anda akan gagal jika mereka dipukul. Andalkan beberapa dan yang dibutuhkan hanyalah satu. Andalkan merek besar dan hadapi konsekuensi yang paling mereka targetkan. Andalkan merek kecil dan tangani konsekuensi bahwa mereka belum berinvestasi dalam keamanan. “

Malwarebytes menggambarkan ketegangan itu dengan cara penting lainnya; peretas Rusia yang mengkompromikannya masuk melalui metode selain SolarWinds. Brandon Wales, pelaksana tugas direktur Badan Keamanan Siber dan Infrastruktur Departemen Keamanan Dalam Negeri, mengatakan The Wall Street Journal pada bulan Januari saat para peretas “memperoleh akses ke target mereka dengan berbagai cara”. Anda dapat mempertahankan harta karun Anda dengan menyembunyikannya di kastil di gunung yang dikelilingi oleh tembok besar dan parit berisi buaya, atau Anda dapat menyebarkannya ke seluruh dunia dengan kotak kunci yang kuat namun tidak mencolok. Kedua pendekatan tersebut mengundang serangkaian risiko mereka sendiri.

Diposting oleh : SGP Prize