RondoDox Botnet Menyerang XWiki Lewat Kerentanan Kritis CVE-2025-24893

Serangan terbaru yang melibatkan botnet RondoDox kembali menjadi sorotan setelah ditemukan menargetkan instance XWiki yang belum ditambal. Serangan ini memanfaatkan celah keamanan kritis yang memungkinkan pelaku memperoleh akses untuk mengeksekusi kode secara arbitrer. Kerentanan yang dimaksud adalah CVE-2025-24893, sebuah eval injection bug dengan skor CVSS 9.8 yang memungkinkan pengguna tamu melakukan remote code execution melalui permintaan ke endpoint “/bin/get/Main/SolrSearch.” Pihak pengembang XWiki telah merilis patch untuk menutup celah tersebut dalam versi 15.10.11, 16.4.1, dan 16.5.0RC1 pada akhir Februari 2025.

Bukti awal menunjukkan bahwa kelemahan ini telah dieksploitasi sejak Maret. Namun eskalasi signifikan baru tampak pada akhir Oktober ketika VulnCheck mengungkap adanya upaya serangan baru yang memanfaatkan celah tersebut dalam rangkaian serangan dua tahap guna memasang cryptocurrency miner. Tidak lama setelah temuan itu dipublikasikan, CISA di Amerika Serikat menambahkan CVE-2025-24893 ke dalam katalog Known Exploited Vulnerabilities (KEV) dan mewajibkan seluruh lembaga federal untuk menerapkan mitigasi sebelum tenggat 20 November.

Dalam laporan terbaru yang dirilis pada hari Jumat, VulnCheck menyebutkan adanya lonjakan aktivitas eksploitasi yang mencapai puncak baru pada 7 November dan kembali meningkat pada 11 November. Pola ini menunjukkan adanya aktivitas pemindaian berskala luas yang mengindikasikan lebih dari satu aktor ancaman tengah berpartisipasi. Salah satu pelaku tersebut adalah botnet RondoDox, yang diketahui terus menambahkan vektor eksploitasi baru untuk menginfeksi perangkat rentan dan mengarahkan mereka sebagai bagian dari serangan distributed denial-of-service (DDoS) melalui protokol HTTP, UDP, dan TCP. Eksploitasi pertama yang melibatkan RondoDox tercatat pada 3 November 2025 menurut laporan perusahaan keamanan siber itu.

Di luar aktivitas RondoDox, serangan lain pun turut memanfaatkan kerentanan ini untuk memasang cryptocurrency miner, membuka reverse shell, hingga melakukan probing menggunakan template Nuclei khusus CVE-2025-24893. Fenomena ini memperlihatkan betapa cepatnya sebuah celah keamanan dapat diadopsi oleh berbagai aktor setelah eksploitasi awal ditemukan. Seperti yang disampaikan Jacob Baines dari VulnCheck, “CVE-2025-24893 adalah kisah lama yang kembali terulang: satu penyerang bergerak lebih dulu, dan banyak yang mengikuti. Dalam hitungan hari setelah eksploitasi awal, kami melihat botnet, miner, dan pemindai oportunistik semuanya memanfaatkan kerentanan yang sama.”

Rentetan peristiwa ini kembali menegaskan pentingnya penerapan manajemen patch yang kuat dan konsisten. Tanpa pembaruan sistem yang tepat waktu, organisasi dengan cepat menjadi target empuk bagi serangan yang memanfaatkan celah-celah yang sudah diketahui publik. Kerentanan kritis seperti CVE-2025-24893 membuktikan bahwa kecepatan dalam menambal sistem sering kali menentukan apakah sebuah layanan tetap aman atau menjadi korban berikutnya.

Ribuan E-CommerceTerancam: Celah Kritis “SessionReaper” di Adobe Magento Dieksploitasi Hacker Secara Aktif (CVE-2025-54236)

Celah Berbahaya di Adobe Magento Mulai Dieksploitasi Secara Global

Komunitas keamanan siber tengah memperingatkan tentang ancaman besar terhadap pengguna platform e-commerce Adobe Magento, setelah muncul laporan bahwa peretas mulai mengeksploitasi celah Remote Code Execution (RCE) kritis yang baru ditemukan. Kerentanan ini, dikenal sebagai SessionReaper dan terdaftar sebagai CVE-2025-54236, memungkinkan penyerang yang tidak terautentikasi untuk mengambil alih sesi pelanggan dan menjalankan kode berbahaya dari jarak jauh, yang dapat berujung pada pencurian data dan kompromi sistem toko online.

Serangan terhadap kerentanan ini mulai meningkat drastis hanya enam minggu setelah Adobe merilis patch darurat, menandakan bahwa banyak pemilik toko online belum menerapkan pembaruan keamanan yang disarankan. Menurut laporan dari firma keamanan Sansec, tercatat lebih dari 250 upaya eksploitasi berhasil diblokir pada 22 Oktober 2025, dengan sumber serangan berasal dari berbagai alamat IP di seluruh dunia.

Asal Usul dan Mekanisme Celah “SessionReaper”

Kerentanan SessionReaper disebabkan oleh kegagalan validasi input pada sistem Adobe Commerce dan Magento Open Source, termasuk versi 2.4.9-alpha2 dan sebelumnya. Celah ini memengaruhi Commerce REST API, yang digunakan secara luas dalam integrasi toko online.

Celah berbahaya ini pertama kali ditemukan oleh peneliti independen Blaklis dan telah diperbaiki oleh Adobe pada 9 September 2025. Eksploitasi terjadi melalui endpoint /customer/address_file/upload, di mana penyerang dapat mengunggah file berbahaya yang disamarkan sebagai data sesi tanpa perlu autentikasi. Bug yang bersifat nested deserialization ini memungkinkan eksekusi kode jarak jauh (RCE), terutama pada sistem yang menggunakan file-based session storage, meskipun konfigurasi berbasis Redis atau database juga rentan terhadap serangan serupa.

Peneliti dari Assetnote pada 21 Oktober 2025 merilis laporan teknis lengkap disertai proof-of-concept (PoC) yang memperlihatkan bagaimana eksploit ini bekerja. Publikasi PoC tersebut secara efektif mempersempit waktu bagi administrator untuk menambal sistem mereka sebelum serangan masif dimulai.

Tingkat Keparahan dan Risiko Eksploitasi yang Meluas

Menurut Sansec, tingkat keparahan SessionReaper mencapai 9.1 pada skala CVSS, menjadikannya salah satu celah paling berbahaya dalam sejarah Magento. Ancaman ini disandingkan dengan serangan legendaris seperti CosmicSting (CVE-2024-34102) di tahun 2024, TrojanOrder (CVE-2022-24086) di tahun 2022, dan Shoplift pada 2015 — semuanya menyebabkan ribuan toko online diretas hanya beberapa hari setelah celahnya diketahui publik.

Kini, dengan detail teknis eksploit yang sudah tersebar luas, para pakar memperingatkan kemungkinan gelombang serangan otomatis dalam waktu 48 jam, karena banyak alat pemindai dan bot otomatis akan memanfaatkan kerentanan ini untuk menyerang situs yang belum diperbarui.

Meskipun Adobe telah merilis patch dan hotfix resmi, tingkat adopsinya masih tergolong rendah. Enam minggu setelah rilis patch, Sansec melaporkan hanya 38% toko Magento yang telah menerapkan perbaikan, sementara 62% sisanya — atau sekitar tiga dari lima toko — masih terbuka terhadap serangan.

Data awal pada September bahkan menunjukkan bahwa kurang dari satu dari tiga toko telah mengamankan sistem mereka. Kondisi ini memperlihatkan lemahnya kesadaran dan kecepatan pembaruan keamanan di sektor e-commerce, yang pada akhirnya membahayakan data sensitif pelanggan seperti informasi pembayaran dan kredensial akun.

Risiko Nyata bagi E-Commerce dan Urgensi Patch

Celah SessionReaper memiliki potensi dampak besar bagi industri e-commerce global. Situs yang belum menambal sistemnya berisiko menjadi target utama untuk serangan credential stuffing, malware injection, hingga gangguan rantai pasokan (supply chain disruption).

Sansec mengungkapkan bahwa eksploitasi aktif telah dilacak berasal dari beberapa alamat IP seperti 34.227.25.4, 44.212.43.34, 54.205.171.35, 155.117.84.134, dan 159.89.12.166. Serangan-serangan ini diketahui mengirimkan payload untuk memeriksa konfigurasi server atau bahkan menginstal backdoor guna memperoleh akses jangka panjang ke sistem korban.

Langkah Mitigasi dan Pertahanan yang Direkomendasikan

Untuk mencegah kerugian lebih lanjut, pemilik toko online disarankan segera menerapkan patch resmi dari Adobe atau memperbarui ke versi Magento terbaru. Petunjuk teknis lengkap tersedia di Adobe Developer Guide.

Bagi yang belum dapat memperbarui sistemnya secara langsung, aktivasi Web Application Firewall (WAF) menjadi langkah penting untuk perlindungan sementara. Sansec Shield, misalnya, telah mendeteksi dan memblokir eksploit SessionReaper sejak hari pertama ditemukannya celah ini. Perusahaan tersebut bahkan menawarkan perlindungan gratis selama satu bulan melalui kode kupon “SESSIONREAPER” sebagai bentuk respons cepat terhadap ancaman ini.

Sansec juga mengimbau para pemilik toko untuk memantau aktivitas mencurigakan dan mengikuti pembaruan di dasbor serangan langsung (live attack dashboard) yang mereka sediakan, guna memastikan deteksi dini terhadap upaya eksploitasi.

Kesimpulan: Ancaman Lama, Wajah Baru

Eksploitasi aktif terhadap CVE-2025-54236 (SessionReaper) menunjukkan bahwa dunia siber masih berhadapan dengan tantangan klasik — keterlambatan dalam penerapan patch keamanan. Walau Adobe telah bergerak cepat merilis pembaruan, fakta bahwa mayoritas toko online masih belum melindungi diri mereka membuktikan betapa rentannya ekosistem digital terhadap serangan modern.

Dengan tingkat keparahan yang nyaris maksimal dan kemudahan eksploitasi yang tinggi, SessionReaper menjadi pengingat keras bahwa patching bukanlah pilihan, melainkan kewajiban. Kegagalan memperbarui sistem bisa berarti kehilangan data pelanggan, reputasi bisnis, dan kepercayaan konsumen — aset yang jauh lebih berharga daripada waktu yang dibutuhkan untuk mengamankan situs.

Insiden Pertama Malicious MCP Server: Ancaman Baru di Rantai Pasokan Perangkat Lunak

Insiden Pertama Malicious MCP Server: Ancaman Baru di Rantai Pasokan Perangkat Lunak

Peneliti keamanan siber baru-baru ini menemukan kasus pertama di dunia nyata dari server Model Context Protocol (MCP) yang bersifat jahat, menandai risiko serius pada rantai pasokan perangkat lunak. Menurut laporan Koi Security, seorang pengembang yang terlihat sah berhasil menyisipkan kode berbahaya di dalam paket npm bernama postmark-mcp, yang meniru pustaka resmi dari Postmark Labs dengan nama sama. Fungsi berbahaya ini muncul pada versi 1.0.16, dirilis pada 17 September 2025.

Pustaka postmark-mcp asli, yang tersedia di GitHub, memungkinkan pengguna untuk mengirim email, mengakses dan menggunakan template email, serta melacak kampanye menggunakan bantuan kecerdasan buatan (AI). Namun, paket npm palsu yang diunggah oleh pengembang dengan username "phanpak" pada 15 September 2025 telah dihapus setelah ditemukan. Paket ini tercatat memiliki total 1.643 unduhan.

Versi berbahaya ini menyalin setiap email yang dikirim melalui server MCP ke alamat email pengembang "phan@giftshop[.]club" melalui mekanisme BCC, sehingga berpotensi mengekspos komunikasi sensitif. Menurut Chief Technology Officer Koi Security, Idan Dardikman, “Postmark-mcp backdoor tidaklah kompleks, tapi ini membuktikan betapa rapuhnya sistem ini. Satu pengembang, satu baris kode, dan ribuan email berhasil dicuri.”

Para pengembang yang pernah menginstal paket ini disarankan segera menghapusnya dari alur kerja mereka, mengganti kredensial yang mungkin telah terekspos melalui email, dan memeriksa log email untuk aktivitas BCC mencurigakan. Snyk menambahkan, server MCP biasanya memiliki kepercayaan tinggi dan izin luas dalam agent toolchains, sehingga data yang ditangani bisa sangat sensitif, termasuk pengaturan ulang kata sandi, faktur, komunikasi pelanggan, hingga memo internal. Backdoor ini dirancang khusus untuk mengekstrak email dari alur kerja yang bergantung pada MCP server tersebut.

Temuan ini menyoroti bagaimana aktor ancaman terus memanfaatkan kepercayaan pengguna terhadap ekosistem open-source, termasuk ekosistem MCP yang masih baru, untuk keuntungan mereka, terutama ketika diterapkan dalam lingkungan bisnis kritikal tanpa pengamanan yang memadai.

Dalam pernyataan resmi, Postmark menegaskan bahwa paket npm postmark-mcp bukanlah paket resmi mereka. Platform pengiriman email ini menyatakan bahwa paket palsu dibuat oleh pihak jahat yang meniru nama mereka untuk mencuri data email. “Kami tidak mengembangkan, mengotorisasi, atau memiliki keterlibatan apapun dengan paket npm 'postmark-mcp'. API dan layanan resmi Postmark tetap aman dan tidak terpengaruh oleh insiden ini,” jelas pihak Postmark.

Insiden ini menjadi peringatan penting bagi pengembang dan perusahaan yang mengandalkan paket open-source: keamanan rantai pasokan perangkat lunak bukan hanya soal kode yang terlihat sah, tetapi juga validasi terhadap setiap dependensi yang digunakan dalam lingkungan produksi.

Breach and Attack Simulation: Crash Test yang Mengubah Keamanan Siber dari Asumsi Menjadi Bukti Nyata

Breach and Attack Simulation: Crash Test yang Mengubah Keamanan Siber dari Asumsi Menjadi Bukti Nyata

Dalam dunia otomotif, pabrikan mobil tidak pernah hanya mengandalkan gambar cetak biru atau blueprint untuk menilai keselamatan. Mereka menghancurkan prototipe berulang kali dalam uji tabrak terkontrol demi memastikan ketahanan desain mereka. Spesifikasi teknis tidak menjamin keselamatan; uji benturanlah yang membuktikan realitas di lapangan. Prinsip yang sama berlaku dalam keamanan siber. Dashboard yang penuh dengan notifikasi “critical” dan laporan kepatuhan yang rapi bukanlah jaminan bahwa sistem benar-benar terlindungi.

Bagi seorang CISO, yang terpenting bukanlah banyaknya kotak centang di laporan audit, melainkan bukti nyata bahwa kelompok ransomware yang menyasar sektor tertentu tidak bisa bergerak lateral setelah masuk, bahwa exploit baru tidak akan menembus pertahanan kemudian hari, dan bahwa data sensitif tidak bisa dieksfiltrasi secara diam-diam yang berisiko memicu denda, gugatan, dan kerusakan reputasi. Inilah alasan mengapa Breach and Attack Simulation (BAS) muncul sebagai kebutuhan, bukan sekadar pilihan.

BAS adalah “uji tabrak” bagi tumpukan keamanan siber perusahaan. Teknologi ini secara aman mensimulasikan perilaku musuh nyata untuk menunjukkan serangan mana yang mampu dihentikan pertahanan dan celah mana yang bisa ditembus. Dengan BAS, asumsi berubah menjadi bukti nyata sebelum penyerang memanfaatkannya atau regulator menuntut jawaban. Dashboard yang tampak penuh informasi seringkali menimbulkan rasa aman semu, sama seperti membaca brosur mobil lalu menyatakan kendaraan itu “aman” tanpa pernah mengujinya di kecepatan tinggi. Hanya benturan nyata yang mengungkap di mana rangka lemah dan airbag gagal bekerja.

Data terbaru dari Blue Report 2025 mengungkap gambaran mengejutkan ketika pertahanan diuji alih-alih diasumsikan. Tingkat pencegahan serangan turun dari 69% menjadi 62% dalam setahun, bahkan di organisasi dengan kontrol keamanan matang. Lebih dari separuh perilaku penyerang tidak menghasilkan log sama sekali, membuat rantai serangan berjalan tanpa terlihat. Hanya 14% yang memicu peringatan, artinya sebagian besar sistem deteksi gagal secara diam-diam. Bahkan upaya penyegelan data hanya berhasil dihentikan 3% dari waktu, menunjukkan tahap paling krusial dan berisiko tinggi hampir tanpa perlindungan nyata. Seperti uji tabrak yang mengungkap kelemahan tersembunyi dalam desain mobil, validasi keamanan menyingkap asumsi yang runtuh di bawah tekanan dunia nyata.

BAS bekerja sebagai mesin validasi keamanan yang terus-menerus. Alih-alih menunggu serangan nyata, BAS menjalankan skenario serangan yang aman dan terkendali, meniru cara musuh beroperasi sesungguhnya. Teknologi ini tidak menjual hipotesis, melainkan bukti. Bagi para CISO, bukti ini penting karena mengubah kecemasan menjadi keyakinan. Tidak ada lagi malam tanpa tidur akibat CVE baru dengan proof-of-concept yang beredar. Tidak ada lagi tebakan apakah kampanye ransomware yang sedang menyapu sektor tertentu bisa menembus lingkungan internal. BAS menghadirkan jawaban melalui simulasi nyata, bukan asumsi.

Inilah disiplin baru yang disebut Security Control Validation (SCV) — pembuktian bahwa investasi keamanan benar-benar berfungsi pada saat paling penting. BAS menjadi mesin yang membuat SCV berlangsung secara terus-menerus dan skala besar. Dashboard mungkin menunjukkan postur, tetapi BAS mengungkap kinerja. Dengan menunjukkan titik buta dalam pertahanan, BAS memberi CISO sesuatu yang tidak pernah bisa ditawarkan dashboard: fokus pada paparan yang benar-benar penting, sekaligus bukti ketahanan yang bisa dipresentasikan kepada dewan, regulator, dan pelanggan.

Efek BAS pada sisi bisnis juga sangat signifikan. Validasi paparan yang didorong oleh BAS mampu memangkas backlog temuan “kritis” dari 9.500 menjadi hanya 1.350 paparan yang terbukti relevan. Mean Time to Remediate (MTTR) turun dari 45 hari menjadi 13 hari, menutup jendela kerentanan sebelum penyerang beraksi. Frekuensi rollback pun berkurang dari 11 menjadi hanya 2 per kuartal, menghemat waktu, anggaran, dan kredibilitas. Ketika dipasangkan dengan model prioritas seperti Picus Exposure Score (PXS), kejelasan ini semakin tajam: dari 63% kerentanan yang ditandai tinggi/kritis, hanya 10% yang benar-benar kritis setelah divalidasi, pengurangan 84% dari urgensi palsu. Bagi CISO, ini berarti lebih sedikit malam tanpa tidur akibat dashboard yang membengkak dan lebih banyak keyakinan bahwa sumber daya difokuskan pada paparan yang paling penting.

Pada akhirnya, tantangan bagi CISO bukan sekadar visibilitas, melainkan kepastian. Dewan tidak meminta dashboard atau skor pemindai; mereka menginginkan jaminan bahwa pertahanan akan bertahan pada saat paling krusial. BAS mengubah percakapan ini: dari postur ke bukti. Dari “Kami menerapkan firewall” menjadi “Kami membuktikan firewall memblokir traffic Command & Control berbahaya pada 500 simulasi kuartal ini.” Dari “EDR kami mencakup MITRE” menjadi “Kami mendeteksi 72% perilaku grup APT Scattered Spider; berikut perbaikan untuk 28% sisanya.” Dari “Kami patuh” menjadi “Kami tangguh, dan kami punya buktinya.” Pergeseran inilah yang membuat BAS menarik di tingkat eksekutif. Teknologi ini mengubah keamanan dari asumsi menjadi hasil terukur, karena dewan tidak membeli postur, mereka membeli bukti.

Lebih jauh lagi, dengan dukungan kecerdasan buatan, BAS kini tidak hanya membuktikan apakah pertahanan bekerja kemarin, tetapi juga memprediksi bagaimana pertahanan tersebut akan bertahan menghadapi ancaman masa depan. Pendekatan ini menjadikan BAS sebagai fondasi baru bagi keamanan siber modern, mengubah keamanan dari sekadar pengawasan menjadi simulasi yang memberikan keyakinan nyata.

Samsung Rilis Pembaruan Keamanan Android, Perbaiki Celah Zero-Day Berbahaya

Samsung baru saja merilis pembaruan keamanan bulanan untuk sistem operasi Android yang mencakup perbaikan pada salah satu kerentanan kritis. Celah keamanan yang dilacak sebagai CVE-2025-21043 ini memiliki skor CVSS 8.8 dan disebut telah dieksploitasi dalam serangan zero-day di dunia nyata. Dengan tingkat keparahan yang tinggi, kerentanan ini membuka peluang bagi penyerang untuk menjalankan kode berbahaya pada perangkat target secara remote.

Kerentanan tersebut ditemukan pada libimagecodec.quram.so, sebuah pustaka parsing gambar tertutup yang dikembangkan Quramsoft untuk mendukung berbagai format gambar. Menurut laporan Google Project Zero pada 2020, pustaka ini memang digunakan secara luas dalam sistem Android, sehingga kesalahan implementasi dapat berakibat serius. Samsung dalam advisori resminya menjelaskan bahwa “Out-of-bounds Write” di pustaka ini memungkinkan penyerang mengeksekusi kode secara sewenang-wenang sebelum diperbaiki pada SMR September 2025 Release 1.

Pembaruan ini penting karena kerentanan berdampak pada banyak versi Android modern, mulai dari Android 13, 14, 15, hingga 16. Samsung menerima laporan kerentanan ini secara privat pada 13 Agustus 2025, kemudian segera menyiapkan tambalan untuk melindungi pengguna. Meskipun begitu, perusahaan tidak merinci secara publik bagaimana teknik eksploitasi dijalankan maupun pihak mana yang berada di balik serangan. Mereka hanya mengakui bahwa “sebuah exploit untuk masalah ini sudah beredar di alam internet,” menandakan ancaman nyata bagi pengguna yang belum memperbarui perangkatnya.

Rangkaian pembaruan ini hadir tak lama setelah Google mengumumkan penyelesaian dua celah keamanan serius lain pada Android, yakni CVE-2025-38352 dan CVE-2025-48543, yang juga telah dimanfaatkan dalam serangan terarah. Kombinasi peristiwa ini menunjukkan bahwa ancaman terhadap ekosistem Android terus berkembang dan memerlukan respons cepat dari vendor maupun pengguna. Oleh karena itu, pembaruan keamanan bulanan bukan sekadar formalitas, melainkan lapisan pertahanan vital bagi perangkat pintar.

Dengan semakin seringnya kerentanan kritis ditemukan dan dieksploitasi, pengguna Android sangat disarankan untuk segera memperbarui sistem ke versi terbaru. Patch yang dirilis Samsung kali ini bukan hanya menutup celah CVE-2025-21043, tetapi juga memperkuat keseluruhan ekosistem keamanan perangkat. Memperbarui perangkat secara rutin akan meminimalkan risiko dari serangan zero-day yang semakin canggih dan sulit diprediksi.

CVE-2025-53690: Serangan ViewState di Sitecore Memanfaatkan machineKey Bocor—Inilah Yang Harus Dilakukan Sekarang

CVE-2025-53690 (CVSS 9.0) menargetkan Sitecore (XM/XP/XC/Managed Cloud) melalui deserialisasi ViewState yang memanfaatkan machineKey ASP.NET statis dari panduan deployment lama. Eksploitasi aktif telah diamati: penyerang masuk via RCE, menaikkan hak akses, bertahan, melakukan rekonsaisans Active Directory, lalu bergerak lateral hingga pencurian data. FCEB diimbau menambal sebelum 25 September 2025. Putar ulang machineKey, perketat konfigurasi, batasi paparan ke internet publik, dan cari indikator kompromi yang dirinci di bawah.

Mengapa Kerentanan Ini Berbahaya

Masalah utamanya adalah deserialisasi data tak tepercaya pada ViewState ketika aplikasi menggunakan machineKey default/statis. Jika machineKey terekspos (misalnya dari dokumentasi lama), penyerang bisa memvalidasi dan mengeksekusi payload ViewState berbahaya, menghasilkan Remote Code Execution (RCE) di server Sitecore yang menghadap internet. Nilai CVSS 9.0 mencerminkan dampak kritis—akses awal mudah berujung kendali penuh lingkungan.

Latar & Garis Waktu Singkat

• 2017 dan sebelumnya — Panduan deployment Sitecore memuat contoh machineKey; sebagian pengguna menyalin mentah tanpa mengganti dengan nilai unik.
• Desember 2024 – Februari 2025 — Microsoft mengamati eksploitasi terbatas terhadap machineKey bocor; beberapa kasus digunakan untuk menjatuhkan kerangka pasca-eksploitasi Godzilla.
• Maret–Mei 2025 — Kasus serupa muncul:
• CVE-2025-30406 (CentreStack/Gladinet): machineKey tidak terlindungi → RCE.
• CVE-2025-3935 (ConnectWise ScreenConnect): celah autentikasi → injeksi ViewState di dunia nyata terhadap sebagian kecil pelanggan.
• Juli 2025 — Broker akses awal Gold Melody dikaitkan kampanye yang mengeksploitasi machineKey ASP.NET bocor untuk menjual akses tidak sah.
• September 2025 — CISA mengimbau lembaga FCEB melakukan pembaruan Sitecore sebelum 25 September 2025.

Konteks ini menunjukkan satu pola: konfigurasi tidak aman + machineKey publik = jalur cepat ke RCE

Detail Teknis Serangan

• Vektor awal: ViewState deserialization menggunakan sampel machineKey yang beredar di panduan deployment lama untuk menandatangani payload.
• Payload: .NET assembly bernama WEEPSTEEL yang:
• Mengumpulkan informasi sistem, jaringan, dan pengguna.
• Mengekfiltrasi data ke penyerang.
• Meminjam sebagian fungsi dari alat Python ExchangeCmdPy.py.
• Alat bantu & tahap lanjutan:
• EarthWorm — tunneling SOCKS untuk pivoting jaringan.
• DWAgent — akses jarak jauh persisten + rekonsaisans AD (identifikasi Domain Controller).
• SharpHound — enumerasi Active Directory.
• GoTokenTheft — inventarisasi token pengguna unik, eksekusi perintah via token, dan daftar proses + token terkait.
• RDP — pergerakan lateral.

Penyerang pernah membuat asp$ dan sawadmin untuk dump hives SAM/SYSTEM demi kredensial admin, lalu menghapus akun sementara itu setelah memperoleh akses admin yang lebih "normal"

Siapa yang Berisiko?

• Seluruh flavor Sitecore: XM, XP, XC, Managed Cloud—terutama instans yang terekspos ke internet.
• Lingkungan yang menyalin contoh machineKey dari dokumentasi resmi lama alih-alih membuat kunci unik dan acak.
• Lembaga FCEB secara khusus diimbau menambal sebelum 25 September 2025, tapi praktik ini relevan untuk organisasi mana pun.

Insiden ini juga memberi pelajaran tentang tata kelola dokumentasi dan praktik deployment. Contoh konfigurasi dalam panduan resmi harus diperlakukan sebagai placeholder semata, bukan templat final. Alur pipeline modern sebaiknya memaksa pembuatan machineKey unik pada setiap environment melalui secrets manager yang terintegrasi, sekaligus melarang penggunaan kunci yang sama di antara lingkungan pengembangan, uji, dan produksi. Organisasi yang mengandalkan golden image atau AMI lama perlu memastikan tidak ada kunci kriptografi tertanam yang terbawa ke rilis baru.

Cloud Intrusions: Murky/Genesis/Glacial Panda & Taktik Menyusup Cloud (2025) + Cara Bertahan (2025)

 

Cloud Intrusions: Murky/Genesis/Glacial Panda & Taktik Menyusup Cloud (2025) + Cara Bertahan

Ringkasan Eksekutif

Tiga kelompok berjejaring China—Murky Panda (alias Silk Typhoon/Hafnium), Genesis Panda, dan Glacial Panda—menunjukkan evolusi serangan ke kontrol plane cloud dan rantai pasok TI. Polanya mencakup eksploitasi perangkat menghadap internet, pemanfaatan SOHO device sebagai exit node, peretasan tenant dan service principal di Entra ID, pengambilan kredensial via Instance Metadata Service (IMDS), hingga pemasangan backdoor OpenSSH pada sistem Linux telekomunikasi. Tujuan utamanya: akses berkelanjutan, pergerakan lateral, dan pengumpulan intelijen dengan jejak serendah mungkin.

1) Murky Panda: Menyusup Lewat Relasi Tepercaya di Cloud

Fokus utama Murky Panda adalah menyalahgunakan hubungan tepercaya antar organisasi dan tenant cloud. Kelompok ini cepat memanfaatkan N-day maupun zero-day untuk akses awal—khususnya pada appliances yang terekspos internet. Mereka juga diduga menguasai perangkat SOHO di negara target untuk menyamarkan sumber lalu lintas.

Teknik awal & muatan pasca-kompromi

• Eksploitasi celah pada Citrix NetScaler ADC/Gateway (CVE-2023-3519) dan Commvault (CVE-2025-3928).
• Penempatan web shell (mis. neo-reGeorg) untuk persistensi.
• Dropper menuju CloudedHope (ELF 64-bit, Golang) yang berperan sebagai RAT sederhana, dilindungi anti-analysis, timestomping, dan pembersihan jejak.

Murky Panda mengompromi pemasok dari entitas Amerika Utara, memanfaatkan hak admin pemasok ke tenant Entra ID korban untuk menambah akun backdoor sementara, lalu memodifikasi service principal yang berkaitan dengan manajemen Active Directory dan surel. Fokus operasi tampak diarahkan untuk memperoleh akses email tingkat tinggi.

Implikasi: Relasi B2B/mitra integrator dan pengaturan delegated admin pada cloud kini menjadi permukaan serang kritikal. Jika tidak dibatasi ketat, tenant dapat menjadi pivot ke korban hilir.

2) Genesis Panda: Menguasai Kontrol Plane Cloud

Aktif setidaknya sejak Januari 2024, Genesis Panda beroperasi lintas 11 negara dengan target keuangan, media, telekomunikasi, dan teknologi. Pola khasnya: kompromi sistem berhosting cloud untuk memanfaatkan kontrol plane sebagai media lateral movement, persistensi, dan enumerasi.

Ciri teknis yang menonjol

• Kuiri IMDS pada mesin berhosting cloud untuk memperoleh kredensial sementara kontrol plane serta parameter jaringan/instans.
• Penggunaan kredensial dari VM yang telah jatuh untuk memperdalam akses pada akun cloud korban.
• Eksploitasi luas pada web-facing vulns; eksfiltrasi data cenderung terbatas—mengindikasikan peran initial access broker bagi operasi intelijen lanjutan.

3) Glacial Panda: Fokus Telekomunikasi & Linux

Aktivitas negara-bangsa di sektor telekomunikasi meningkat tajam (≈130% dalam setahun), dan Glacial Panda menjadi salah satu aktor yang menargetkannya lintas Asia, Amerika, dan Afrika. Mereka membidik Linux—termasuk distro legacy yang menopang teknologi telko generasi lama.

Rantai serangan & persistensi

• Akses awal lewat celah lama/konfigurasi lemah pada server menghadap internet, diikuti eskalasi hak dengan Dirty COW (CVE-2016-5195) dan PwnKit (CVE-2021-4034).
• Penggunaan living-off-the-land untuk menyamarkan aktivitas.
• Pemasangan komponen OpenSSH bertrojan (ShieldSlide) guna memanen sesi autentikasi dan kredensial. Varian sshd bertrojan ini menerima kata sandi hardcoded untuk mengautentikasi akun apa pun—termasuk root—sebagai pintu belakang.

4) Kenapa Ini Penting untuk Organisasi di Indonesia

• Rantai pasok TI lokal semakin terhubung ke SaaS/global CSP; akses delegated admin mitra perlu pengendalian ketat.
• Telekomunikasi, finansial, media, teknologi—empat sektor yang banyak beroperasi di Indonesia—termasuk sasaran utama.
• Kerja jarak jauh memperbanyak SOHO device yang dapat disalahgunakan sebagai exit node atau foothold.
• Fokus musuh pada email dan identitas berarti IAM/IdP adalah mahkota yang harus dijaga.

5) Playbook Deteksi (Defensif, Tanpa Eksploit)

Identitas & Entra ID / M365

• Audit akun baru/sementara, perubahan Service Principal, consent aplikasi, dan rotasi secret/certificate yang tidak biasa.
• Pantau sign-in dari alamat IP/ASN consumer (indikasi SOHO) dan perubahan kebijakan Conditional Access di luar jam kerja.
• Telusuri akses eDiscovery/mailbox berisiko tinggi.

Kontrol plane & cloud workload

• Deteksi kueri berulang ke IMDS dan permintaan metadata dari proses yang tidak semestinya.
• Alert untuk pembuatan akses programmatic mendadak (IAM user/service account/API key) dan role binding bern privilese.

Host Linux (khusus telko & server publik)

• Verifikasi integritas /usr/sbin/sshd, modul PAM, dan paket OpenSSH (bandingkan hash terhadap repositori resmi).
• Periksa anomali timestomp pada file penting, setuid/setcap mencurigakan, dan jejak eksploit Dirty COW/PwnKit.
• Hunt untuk artefak web shell dan proses Go ELF yang tidak dikenal.

Jaringan

• Profilkan trafik keluar ke IP residensial di negara target, domain baru berumur pendek, atau beaconing berinterval stabil.

6) Prioritas Hardening (Rencana 30–60–90 Hari)

30 hari

• Patch segera perangkat NetScaler/Commvault dan sistem EoL; nonaktifkan directory listing & port manajemen publik.
• Audit semua delegated admin lintas tenant; terapkan PIM/JIT dan break-glass yang diawasi.
• Wajibkan MFA kuat + phishing-resistant untuk admin dan layanan.

60 hari

• Terapkan kebijakan Conditional Access berbasis perangkat/konteks; batasi cross-tenant access dan persetujuan aplikasi.
• Paksa IMDS v2 (atau setara) dan batasi akses metadata dari kontainer/pod yang tidak memerlukan.
• Implementasi File Integrity Monitoring dan golden image verifikasi untuk host kritikal.

90 hari

• Key/secret rotation terjadwal untuk Service Principal/IAM, serta kill switch untuk akses pemasok.
• Segmentasi jaringan + kontrol e-gress berbasis policy, bukan daftar statis.
• Latih table-top exercise insiden tenant cloud (skenario: backdoor SP, mailbox exfil).

7) Respons Insiden (Jika Ada Indikasi Kompromi)

1. Isolasi jalur pemasok/akun aplikasi berisiko; suspend akses sementara.
2. Preservasi forensik: snapshot VM/log, memory capture pada host penting.
3. Eradikasi: cabut SP/aplikasi berbahaya, ganti secret/cert, keluarkan token aktif.
4. Penyembuhan: hardening ulang kebijakan identitas, validasi integritas SSH/OpenSSH, patch ulang semua perangkat.
5. Pemulihan & pembelajaran: post-mortem teknis, perbaikan kontrol, dan threat sharing.

Garis bawahnya: operasi modern Murky/Genesis/Glacial Panda memindahkan titik berat pertahanan dari sekadar endpoint ke identitas dan kontrol plane cloud. Keamanan Indonesia perlu menutup celah pada relasi mitra, IMDS, dan akses terkelola lintas tenant. Dengan monitoring identitas yang ketat, hardening cloud berlapis, dan kebersihan Linux yang disiplin, peluang mempertahankan visibilitas dan menekan dwell time meningkat drastis.

Vulnerabilitas HTTP/2 “MadeYouReset”: DoS Skala Besar yang Mengancam Apache Tomcat, F5 BIG-IP, dan Netty

MadeYouReset pada HTTP/2 memungkinkan DoS berskala besar dan melewati mitigasi Rapid Reset. Pahami dampak, CVE terkait, serta langkah mitigasi bagi perusahaan di Indonesia.

Beberapa implementasi HTTP/2 terpapar teknik serangan baru bernama MadeYouReset yang dapat dimanfaatkan untuk melancarkan denial-of-service (DoS) skala besar. Intinya, teknik ini menyingkirkan batas lazim ~100 permintaan konkuren per koneksi TCP yang biasanya dipakai server untuk menekan serangan. Akibatnya, penyerang dapat mendorong ribuan permintaan dan menguras sumber daya, hingga pada sejumlah vendor berujung crash akibat kehabisan memori.

MadeYouReset membangun serangan di atas konsep Rapid Reset (CVE-2023-44487) dan HTTP/2 CONTINUATION Flood, namun dengan twist penting: ia tidak perlu klien mengirim RST_STREAM. Sebaliknya, penyerang menyusun rangkaian frame yang memicu pelanggaran protokol pada momen tertentu sehingga server sendirilah yang menerbitkan RST_STREAM, sementara proses di backend masih berjalan. Ketimpangan ini menciptakan kondisi penumpukan kerja yang mendorong resource exhaustion.

Serangan dimulai dengan permintaan HTTP/2 yang valid agar server mulai memproses. Lalu, penyerang “mengguncang” urutan kontrol—misalnya dengan WINDOW_UPDATE bernilai 0 atau melewati ambang jendela, mengirim PRIORITY berukuran salah atau membuat dependensi ke dirinya sendiri, serta mengirim HEADERS/DATA setelah END_STREAM. Kombinasi seperti ini memicu pelanggaran urutan frame sehingga server mereset stream (mengirim RST_STREAM), tetapi pekerjaan di belakang layar masih diteruskan. Dikombinasikan ribuan kali, pola ini menghasilkan DoS masif seraya mengakali mitigasi Rapid Reset berbasis hitungan RST_STREAM dari sisi klien.

Isu ini mendapat pengenal generik CVE-2025-8671 karena memengaruhi banyak produk. Sejumlah proyek/vendor yang telah mengaitkan CVE spesifik antara lain: Apache Tomcat (CVE-2025-48989), F5 BIG-IP (CVE-2025-54500), dan Netty (CVE-2025-55163). Seperti kasus HTTP/2 sebelumnya, dampak utamanya adalah degradasi layanan hingga layanan tidak dapat diakses ketika sumber daya CPU/memori menipis akibat gelombang stream yang di-reset.

Di Indonesia, reverse proxy, gateway API, dan aplikasi berbasis Java/Netty banyak digunakan pada e-commerce, fintech, telco, kampus, hingga sektor publik. Arsitektur dengan layer proxy → aplikasi sangat rentan jika lalu lintas tak sehat lolos dari lapisan tepi. Serangan berbiaya rendah ini dapat menenggelamkan situs niaga saat promo, menghambat layanan mobile banking, atau memutus akses panel internal bila proteksi dan rate limit tidak ketat.

Segera perbarui komponen HTTP/2 terdampak ke rilis yang telah ditambal dari vendor. Terapkan rate limiting berbasis koneksi dan stream concurrency di proxy/edge (bukan hanya di aplikasi). Pantau anomali RST_STREAM yang dipicu server, serta metrik backend (thread pool, request queue, heap) untuk mendeteksi kerja “hantu”. Aktifkan circuit breaker, graceful degradation, dan slow-client protection. Jika serangan berlangsung, turunkan prioritas HTTP/2 untuk klien mencurigakan, atau feature flag ke HTTP/1.1 hanya pada jalur tertentu sembari menambah lapisan WAF—namun ingat, HTTP/1.1 membawa risiko lain.

Tambahkan alert untuk lonjakan koneksi/stream, pola RST_STREAM server-initiated, dan ketidakseimbangan requests started vs responses completed. Uji ketahanan dengan alat seperti h2spec dan simulasi lalu lintas berbahaya yang meniru urutan frame cacat. Dokumentasikan SLA patch untuk komponen HTTP/2, lakukan table-top exercise, dan siapkan runbook traffic shedding ketika beban melonjak tak wajar.