Cisco telah mengonfirmasi bahwa peretas yang disponsori negara Tiongkok secara aktif mengeksploitasi kerentanan penting yang belum ditambal pada produk keamanannya yang banyak digunakan. Cacat ini memengaruhi perangkat Cisco Secure Email Gateway, Cisco Secure Email, dan Web Manager, yang berpotensi memungkinkan penyerang mendapatkan kendali penuh atas perangkat yang disusupi.
Detail Kerentanan Kritis
Kerentanannya terletak pada fitur “Karantina Spam” pada perangkat lunak Cisco AsyncOS. Meskipun tidak diaktifkan secara default, instance terekspos yang dapat dijangkau dari internet mempunyai risiko langsung. Cisco menemukan kampanye eksploitasi ini pada tanggal 10 Desember, namun tidak ada perbaikan langsung yang tersedia, sehingga banyak organisasi yang kesulitan mencari strategi mitigasi.
Rekomendasi perusahaan saat ini sangat ekstrem: pembangunan kembali peralatan yang terkena dampak secara menyeluruh. Hal ini karena penyerang kemungkinan besar telah membuat pintu belakang yang persisten dan tidak dapat dihilangkan melalui patching konvensional.
Mengapa Ini Penting
Ancaman ini mempunyai tingkat keparahan yang tinggi karena beberapa alasan:
- Penerapan Luas: Produk keamanan email Cisco banyak digunakan oleh organisasi besar, sehingga potensi serangan menjadi signifikan.
- Aktor yang Disponsori Negara: Cisco Talos, bagian intelijen ancaman perusahaan, menghubungkan kampanye ini dengan kelompok peretasan yang didukung pemerintah Tiongkok. Hal ini menunjukkan adanya upaya yang ditargetkan dan bukan kejahatan oportunistik.
- Eksploitasi Zero-Day: Tidak adanya patch berarti bahwa bahkan organisasi dengan praktik keamanan yang kuat pun tetap rentan sampai kelemahan tersebut diatasi.
Opsi Mitigasi Terbatas
Meskipun fitur Karantina Spam tidak diaktifkan secara default, dan tidak perlu diekspos ke internet, Cisco mengakui bahwa sistem yang terkena dampak sudah disusupi.
Peneliti keamanan seperti Michael Taggart dari UCLA Health Sciences mencatat bahwa permukaan serangan agak dibatasi oleh persyaratan antarmuka manajemen yang terhubung ke internet. Namun, Kevin Beaumont, seorang peneliti keamanan siber yang dihormati, memperingatkan bahwa kurangnya perbaikan dan potensi kegigihan dalam jangka panjang menjadikan kampanye ini sangat berbahaya.
Tanggapan Cisco
Cisco belum mengungkapkan jumlah pelanggan yang terkena dampak. Ketika didesak untuk memberikan rincian, juru bicara perusahaan menolak menjawab pertanyaan dan malah menyatakan bahwa mereka “secara aktif menyelidiki” dan “mengembangkan perbaikan permanen.”
Ini adalah situasi yang sedang berkembang yang memerlukan perhatian segera dari pelanggan Cisco. Kurangnya patch memaksa tindakan drastis: membangun kembali sistem yang telah dikompromikan adalah satu-satunya solusi yang layak saat ini.
Fakta bahwa peretas yang disponsori negara Tiongkok berada di balik kampanye ini menunjukkan bahwa infrastruktur penting dan data sensitif berada dalam risiko. Organisasi harus bertindak cepat untuk menilai paparan mereka dan menerapkan langkah-langkah mitigasi yang direkomendasikan.
