HONG KONG SAR – Media OutReachTrend Micro, pemimpin global dalam solusi keamanan siber, mengatakan di Black Hat USA 2023 bahwa program Zero Day Initiative-nya telah mempublikasikan saran yang membahas lebih dari 1000 kerentanan unik pada tahun 2023. Begitu kerentanan ini menjadi senjata serangan peretas, mereka akan membawa kerugian waktu dan finansial ke dunia yang 10 kali lebih tinggi daripada biaya pencegahan.

“Kami menginvestasikan jutaan dolar setiap tahun dalam penelitian kerentanan proaktif dan akuisisi intelijen kerentanan, menghemat miliaran pelanggan kami dan industri dalam biaya pemulihan. Namun tren yang mengkhawatirkan adalah, vendor tidak cukup transparan untuk mengungkapkan dan menambal informasi tentang kerentanan, menimbulkan ancaman bagi keamanan dunia digital,” jelas Kevin Simzer, Chief Operating Officer Trend Micro, dalam rilisnya, Jumat (18/8/2023).

Trend Micro mendesak industri untuk meninggalkan praktik menambal kerentanan secara diam-diam, yang akan memperlambat atau melemahkan pengungkapan publik dan dokumentasi kerentanan dan pembaruan patch. Ini adalah kendala utama dalam perang melawan kejahatan dunia maya, tetapi ini adalah praktik umum produsen arus utama dan penyedia layanan cloud.

Staf Trend Research di Black Hat USA 2023 menunjukkan bahwa patching diam-diam sangat umum di antara penyedia layanan cloud. Perusahaan-perusahaan ini sering menghindari mencatat kerentanan ke repositori CVE publik dan kemudian merilis pembaruan tambalan secara pribadi.

Kurangnya transparansi atau nomor versi untuk layanan cloud menghambat penilaian risiko dan membuat komunitas keamanan yang lebih luas tidak mendapatkan informasi berharga untuk meningkatkan keamanan ekosistem secara keseluruhan.

Selain itu, pada konferensi Black Hat tahun lalu, Trend Micro juga memperingatkan bahwa pembaruan tambalan yang tidak lengkap atau rusak tampaknya semakin meningkat, dan vendor tampak enggan untuk mempublikasikan informasi otoritatif tentang pembaruan tambalan dengan jelas. Saat ini situasinya diperburuk, dengan beberapa vendor meremehkan pentingnya menambal pembaruan sama sekali, membuat pelanggan dan industri menghadapi risiko yang tidak perlu dan meningkat.

Industri ini sangat perlu mengambil tindakan untuk memprioritaskan pembaruan tambalan, mengatasi kerentanan, dan mendorong kolaborasi antara peneliti, vendor keamanan informasi, dan penyedia layanan cloud untuk memperkuat layanan cloud dan melindungi pengguna dari potensi risiko.

Trend Micro sangat mementingkan transparansi perbaikan bug, dan melalui program bug bounty ZDI, Trend Micro berkomitmen untuk meningkatkan status keamanan informasi seluruh industri. Di bawah desakan pengungkapan transparan, Trend Micro ZDI hari ini merilis sejumlah pengumuman kerentanan zero-day, termasuk:

ZDI-CAN-20784 Github (CVSS 9.9)

> Kerentanan ini dapat memungkinkan peretas jarak jauh meningkatkan hak istimewa mereka dalam penyebaran Microsoft GitHub yang terpengaruh. Menyerang kerentanan ini memerlukan otentikasi.

> Kerentanan ada di konfigurasi Dev Containers, dan aplikasi tidak menerapkan indikator izin konfigurasi Dev Containers. Peretas dapat mengeksploitasi kerentanan ini untuk meningkatkan hak istimewa mereka dan kemudian menjalankan program di tingkat pengawas virtualisasi (Hypervisor).

ZDI-CAN-20771 Microsoft Azure (CVSS 4.4)

  1. Kerentanan ini memungkinkan peretas jarak jauh untuk mengungkapkan informasi sensitif tentang Microsoft Azure. Untuk mengeksploitasi kerentanan ini, peretas harus dapat mengeksekusi kode dengan hak istimewa tinggi di lingkungan target.
  2. Kerentanan ini ada di program pemrosesan kredensial. Akar penyebab masalahnya adalah sumber daya diekspos di bidang kontrol yang salah. Peretas dapat menggunakan kerentanan ini untuk mendapatkan kredensial login yang disimpan di sistem dan kemudian menyerang sistem.

Trend Micro ZDI menerbitkan saran kerentanan di: https://www.zerodayinitiative.com/advisories/published/

Trend Micro ZDI adalah pelopor dalam pasar kerentanan, yang didedikasikan untuk menggagalkan serangan peretas dengan memperoleh penelitian kerentanan secara legal dan memberi tahu vendor yang terpengaruh sebelum pengungkapan publik.