Video: Anatomy of an Attack - Zero Day Exploit (Oktober 2024)
Reputasi Java terpukul lagi, setelah Facebook mengungkapkan bahwa penyerang telah menyusup ke sistem internalnya setelah mengeksploitasi kerentanan nol hari.
Seperti PCMag.com melaporkan sore kemarin, Facebook mengatakan sistemnya telah "ditargetkan dalam serangan canggih" pada Januari. Beberapa karyawan Facebook, mungkin pengembang, terinfeksi setelah mengunjungi situs pengembang seluler pihak ketiga, kata perusahaan itu dalam posting Keamanan Facebook di situs tersebut. Penyerang sebelumnya telah mengkompromikan situs pengembang dan menyuntikkan kode berbahaya yang mengeksploitasi lubang keamanan di plugin Java. Eksploitasi nol hari melewati kotak pasir Java untuk menginstal malware pada komputer korban, kata Facebook.
Facebook melaporkan eksploitasi ke Oracle, dan itu ditambal 1 Februari. Oracle pada waktu itu mengatakan perbaikan telah dijadwalkan untuk 19 Februari, tetapi telah mempercepat rilis karena sedang dieksploitasi di alam liar. Tidak jelas pada titik ini mana dari 39 (dari 50) bug Java Runtime Environment yang diperbaiki di patch itu yang digunakan dalam eksploit ini.
Facebook meyakinkan pengguna bahwa tidak ada data pengguna yang dikompromikan dalam serangan itu, tetapi tidak menunjukkan apakah ada data internal yang terpengaruh.
Twitter Korban Lainnya?
Facebook memberi tahu beberapa perusahaan lain yang terkena serangan yang sama dan mengalihkan penyelidikan ke penegak hukum federal. Sementara perusahaan tidak mengidentifikasi korban lain, waktu serangan itu bertepatan dengan pelanggaran Twitter. Kredensial pengguna telah diekspos dalam serangan itu. Sekarang setelah kita mengetahui beberapa detail serangan di Facebook, peringatan samar Twitter tentang menonaktifkan plugin browser Java masuk akal.
Seperti yang dilaporkan SecurityWatch sebelumnya, direktur keamanan informasi Twitter Bob Lord mengatakan, "Kami juga menggemakan nasihat dari Departemen Keamanan Dalam Negeri AS dan pakar keamanan untuk mendorong pengguna menonaktifkan Java pada komputer mereka di browser mereka."
Menumpuk pada AV Bukan Inti
Facebook mencatat laptop yang dikompromikan "sepenuhnya ditambal dan menjalankan perangkat lunak antivirus terbaru." Beberapa pakar keamanan menerkam fakta untuk menegaskan kembali argumen mereka bahwa antivirus adalah "teknologi yang gagal." Beberapa mengatakan bahwa Facebook harus mengungkapkan nama vendor antivirus sehingga pelanggan lain akan tahu apakah mereka berisiko.
Kisah yang menjadi fokus di sini bukanlah apakah antivirus seharusnya mendeteksi exploit Java, melainkan bahwa Facebook berhasil menggunakan pertahanan berlapisnya untuk mendeteksi dan menghentikan serangan. Tim keamanan perusahaan terus memantau infrastruktur untuk serangan dan menandai domain yang mencurigakan dalam log DNS perusahaan, kata Facebook. Tim melacaknya kembali ke laptop karyawan, menemukan file berbahaya setelah melakukan pemeriksaan forensik, dan menandai beberapa laptop lain yang dikompromikan dengan file yang sama.
"Angkat topi ke Facebook untuk reaksi cepat mereka terhadap serangan ini, mereka menggigitnya sejak awal, " Andrew Storms, direktur operasi keamanan di nCircle, mengatakan kepada SecurityWatch .
Seiring dengan keamanan berlapis, Facebook juga secara teratur melakukan simulasi dan latihan untuk menguji pertahanan dan bekerja dengan responden kejadian. Ars Technica baru-baru ini mencatat akun menarik dari salah satu latihan semacam itu di Facebook di mana tim keamanan berpikir mereka berurusan dengan eksploitasi nol hari dan kode pintu belakang. Simulasi semacam ini digunakan di beberapa organisasi, baik di sektor publik maupun swasta.
Tidak begitu mudah untuk menyingkirkan Java
Seperti yang dicatat SecurityWatch awal bulan ini, mudah untuk menyarankan pengguna untuk menonaktifkan Java di peramban mereka, tetapi banyak alat bisnis masih mengandalkan plugin Java peramban. Meskipun saya tidak mengetahui adanya alat pengembang yang membutuhkan Java di peramban, ada banyak alat bisnis utama yang melakukannya. Beberapa hari yang lalu, saya kesulitan membuat WebEx bekerja di Chrome (Java dinonaktifkan) dan harus ingat untuk beralih ke Internet Explorer (Java diaktifkan).
Penyerang menjadi licik, kompromi situs yang sah dan menyerang pengunjung ke situs tersebut. Biarkan perangkat lunak dan sistem operasi Anda tetap ditambal, dan jalankan perangkat lunak keamanan terbaru. Kurangi permukaan serangan di mana Anda bisa, tetapi yang paling penting, waspadai apa yang terjadi di jaringan Anda.
