Peringatan Ancaman

Sebuah ancaman keamanan siber baru telah teridentifikasi terkait kerentanan kritis pada Orval Core, sebuah komponen perangkat lunak yang sering digunakan dalam sistem manajemen keamanan dan infrastruktur TI. Kerentanan ini memungkinkan penyerang jarak jauh untuk mengeksekusi kode secara arbitrary tanpa otentikasi, membuka celah bagi akses tidak sah ke sistem yang rentan. Menurut laporan dari tim keamanan siber, kerentanan ini memiliki skor CVSS tinggi, menandakan risiko eksploitasi yang serius, terutama pada organisasi yang belum menerapkan patch terbaru.

Eksploitasi kerentanan ini telah terdeteksi dalam lingkungan produksi, dengan serangan aktif yang menargetkan sistem yang tidak diperbarui. Beberapa kasus menunjukkan bahwa penyerang berhasil menginstal backdoor dan mengambil alih kendali penuh atas server yang terinfeksi, mengakibatkan pencurian data dan potensi serangan lanjutan ke dalam jaringan internal.

Bagaimana Modus Serangannya?

• Penyerang memindai internet untuk menemukan sistem yang menjalankan Orval Core versi yang rentan.
• - Mengeksploitasi kerentanan melalui permintaan HTTP khusus yang dikirim ke endpoint publik.
• - Mengirimkan payload berupa skrip eksekusi jarak jauh (remote code execution) untuk menjalankan perintah arbitrer di sistem target.
• - Menanamkan shell akses jarak jauh (reverse shell) untuk mempertahankan akses persisten.
• - Melakukan eskalasi hak akses dan lateral movement ke sistem lain dalam jaringan.

Mengapa Sulit Dibedakan dari yang Asli?

• Permintaan eksploitasi menggunakan header HTTP yang tampak sah dan menyerupai lalu lintas normal.
• - Payload dikemas dalam format yang menyerupai pembaruan sistem atau permintaan manajemen keamanan internal.
• - Penyerang memanfaatkan port dan protokol standar (seperti HTTPS) sehingga tidak memicu alarm pada sistem firewall atau IDS/IPS.
• - Tidak meninggalkan jejak log yang mencurigakan karena meniru perilaku pengguna terautentikasi.

Tujuan dan Teknik yang Digunakan

• Tujuan utama: Akses tidak sah, pencurian data sensitif, dan persiapan serangan berantai (pivoting).
• - Teknik MITRE ATT&CK yang relevan:
•   - T1190: Exploit Public-Facing Application
•   - T1059: Command and Scripting Interpreter
•   - T1071: Application Layer Protocol (Web Protocols)
•   - T1090: Proxy
•   - T1505.003: Web Shell
•   - TA0007: Discovery
• - Menggunakan teknik obfuscation untuk menyembunyikan payload dari deteksi antivirus.

Rekomendasi untuk Pengguna dan Organisasi

• Segera perbarui Orval Core ke versi terbaru yang telah memperbaiki kerentanan ini.
• - Nonaktifkan akses publik ke endpoint Orval Core jika tidak diperlukan.
• - Terapkan pembatasan akses berbasis IP dan autentikasi dua faktor (2FA) untuk antarmuka administratif.
• - Pantau log sistem dan jaringan untuk aktivitas mencurigakan, terutama permintaan HTTP dengan payload tidak biasa.
• - Gunakan solusi deteksi ancaman berbasis perilaku (behavioral-based detection) untuk mengidentifikasi eksekusi kode yang tidak lazim.
• - Lakukan audit keamanan menyeluruh terhadap sistem yang terhubung ke jaringan internal.

Kerentanan Orval Core menjadi peringatan penting bagi organisasi untuk selalu memperbarui sistem dan memantau ancaman terkini. Serangan yang memanfaatkan kerentanan ini bersifat aktif dan canggih, sehingga respons cepat sangat diperlukan untuk mencegah kerusakan lebih lanjut.

Sumber referensi:

https://www.metropolitan-data-security.com/threat-advisory-orval-core-vulnerability-mxdr-service