Apakah Anda Benar-Benar Mempercayai Rantai Pasokan Aplikasi Web Anda?
20 Sep 2023Berita PeretasKeamanan Aplikasi Web
Ya, sebaiknya jangan. Ini mungkin sudah menyembunyikan kerentanannya.
Sifat modular dari aplikasi web modernlah yang menjadikannya sangat efektif. Mereka dapat menggunakan lusinan komponen web pihak ketiga, kerangka kerja JS, dan alat sumber terbuka untuk memberikan semua fungsi berbeda yang membuat pelanggan mereka senang, namun rantai ketergantungan inilah yang juga membuat mereka sangat rentan.
Banyak dari komponen dalam rantai pasokan aplikasi web dikendalikan oleh pihak ketiga—perusahaan yang membuatnya. Artinya, betapapun ketatnya Anda dalam melakukan analisis kode statis, peninjauan kode, pengujian penetrasi, dan proses SSDLC lainnya, sebagian besar keamanan rantai pasokan Anda berada di tangan siapa pun yang membuat komponen pihak ketiganya.
Dengan potensi titik lemah yang sangat besar, dan penggunaannya yang luas dalam industri e-commerce, keuangan, dan medis yang menguntungkan, rantai pasokan aplikasi web menghadirkan target menarik bagi para penyerang dunia maya. Mereka dapat menargetkan salah satu dari lusinan komponen yang dipercaya penggunanya untuk menyusup ke organisasi mereka dan membahayakan produk mereka. Perangkat lunak, perpustakaan pihak ketiga, dan bahkan perangkat IoT secara rutin diserang karena mereka menawarkan cara untuk mendapatkan akses istimewa ke sistem namun tetap tidak terdeteksi. Dari sana, penyerang dapat melancarkan serangan Magecart dan web skimming, ransomware, melakukan spionase komersial dan politik, menggunakan sistem mereka untuk penambangan kripto, atau bahkan sekadar merusaknya.
Daftar Isi
Serangan SolarWinds
Pada bulan Desember 2020, ditemukan serangan rantai pasokan yang jauh lebih besar dibandingkan serangan lainnya dalam hal skala dan kecanggihannya. Ini menargetkan platform pemantauan jaringan dan aplikasi bernama Orion yang dibuat oleh perusahaan bernama SolarWinds. Para penyerang diam-diam menyusup ke infrastrukturnya dan menggunakan hak akses mereka untuk membuat dan mendistribusikan pembaruan jebakan ke 18.000 pengguna Orion.
Ketika pelanggan tersebut menginstal pembaruan yang disusupi dari SolarWinds, penyerang memperoleh akses ke sistem mereka dan bebas memerintah di dalamnya selama berminggu-minggu. Badan-badan pemerintah AS dikompromikan sehingga mendorong penyelidikan yang mengarah pada operasi negara Rusia.
Serangan rantai pasokan yang menghancurkan ini juga dapat terjadi di lingkungan web, dan ini menekankan perlunya solusi keamanan web yang komprehensif dan proaktif yang akan terus memantau aset web Anda.
Alat Keamanan Standar Dapat Diakali
Proses keamanan standar tidak membantu SolarWinds dan mereka tidak dapat memantau seluruh rantai pasokan Anda. Ada banyak area risiko potensial yang mungkin mereka lewatkan begitu saja, seperti:
Dalam situasi ini dan banyak situasi lainnya, alat keamanan standar akan gagal.
Kerentanan Log4j
Situasi lainnya muncul ketika kerentanan zero-day ditemukan di utilitas logging Log4j berbasis Java yang banyak digunakan. Jutaan komputer milik bisnis, organisasi, dan individu di seluruh dunia menggunakan Log4j dalam layanan online mereka. Patch dirilis tiga hari setelah kerentanan ditemukan pada tahun 2021, namun menurut peneliti ancaman senior Sophos, Sean Gallagher:
“Sejujurnya, ancaman terbesar di sini adalah orang-orang sudah mendapatkan akses dan hanya diam saja, dan bahkan jika Anda mengatasi masalahnya, seseorang sudah ada dalam jaringan… Jaringan ini akan tetap ada selama ada Internet.”
Kerentanan tersebut memungkinkan peretas untuk mengambil kendali perangkat yang rentan terhadap eksploitasi melalui Java. Sekali lagi, mereka kemudian dapat menggunakan perangkat ini untuk aktivitas ilegal seperti penambangan mata uang kripto, membuat botnet, mengirim spam, membuat pintu belakang, Magecart, dan meluncurkan serangan ransomware.
Setelah diungkapkan, Check Point melaporkan jutaan serangan yang diprakarsai oleh peretas, dan beberapa peneliti mengamati tingkat lebih dari 100 serangan per menit dan upaya serangan terhadap lebih dari 40% jaringan bisnis di seluruh dunia.
Mengingat rantai pasokan aplikasi web Anda mungkin telah disusupi melalui kerentanan Log4J, kebutuhan akan solusi pemantauan berkelanjutan yang proaktif menjadi semakin mendesak.
Salah satu solusi tersebut adalah perusahaan keamanan web bernama Reflectiz. Platformnya mendeteksi kerentanan Log4J di domain Bing Microsoft pada tahap awal, yang segera mereka tambal. Kemudian Reflectiz secara proaktif memindai ribuan situs web dan layanan untuk mengidentifikasi kerentanan Log4J lainnya. Salah satu kerentanan signifikan ditemukan pada komponen UET Microsoft, yang memengaruhi jutaan pengguna di berbagai platform. Reflectiz memberi tahu dan berkolaborasi dengan klien dan prospek untuk memitigasi risiko, mematuhi prosedur pengungkapan yang bertanggung jawab dengan memberi tahu Microsoft dan membagikan temuan mereka. Mereka menekankan sifat berkelanjutan dari peristiwa Log4J dan menganjurkan organisasi untuk mengamankan situs web mereka dengan mengatasi kerentanan pihak ketiga.
Melindungi rantai pasokan aplikasi web Anda
Interaksi komponen web internal dan pihak ketiga dalam rantai pasokan aplikasi web Anda menciptakan lingkungan dinamis yang terus berubah. Lingkungan yang terus berubah memerlukan solusi pemantauan berkelanjutan yang mengingatkan Anda akan perilaku mencurigakan di setiap elemen rantai pasokan aplikasi web Anda. Melalui pemantauan terus menerus yang ketat, tim keamanan dapat:
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
