Dengan dilaporkannya lembaga-lembaga pemerintah dan anggota parlemen Amerika mempertimbangkan pelarangan produk TP-Link di Amerika Serikat, orang mungkin berpikir bahwa perusahaan tersebut akan menempati peringkat tinggi dalam daftar vendor jaringan dengan kerentanan terbanyak yang saat ini dieksploitasi oleh para penyerang siber.
Tidak dalam jangka panjang.
Perusahaan asal Tiongkok ini, yang produknya populer di kalangan konsumen dan usaha kecil, saat ini memiliki dua masalah keamanan yang masuk dalam daftar Known Exploited Vulnerabilities (KEV) yang disusun oleh Cybersecurity and Infrastructure Security Agency (CISA), dibandingkan dengan 74 untuk Cisco Systems, 23 untuk Ivanti , dan 20 untuk D-Link.
Namun kekhawatiran pejabat pemerintah AS bukan mengenai kerentanan yang diketahui, namun lebih pada risiko yang tidak diketahui, termasuk popularitas routernya di Amerika Serikat – yang merupakan dua pertiga pasarnya – dan sejauh mana perusahaan tersebut terikat pada hal tersebut. pemerintah Tiongkok.
Meskipun belum ada peneliti yang menyebutkan adanya kerentanan backdoor atau zero-day pada router TP-Link, membatasi produk dari negara yang merupakan saingan politik dan ekonomi bukanlah hal yang tidak masuk akal, kata Thomas Pace, CEO perluasan keamanan Internet of Things (IoT) perusahaan NetRise dan mantan kepala keamanan siber di Departemen Energi AS.
“Nilainya bagiku [of a ban] hampir lebih berkaitan dengan nilai kebijakan ekonomi daripada nilai keamanan siber teknis murni,” katanya. “Bagi saya, ada gunanya mengatakan bahwa Anda tidak boleh membeli barang-barang ini karena alasan X, Y, dan Z. [and to make it] lebih sulit bagi usaha kecil, atau siapa pun, untuk mendapatkan perangkat dari perusahaan-perusahaan ini.”
TP-Link — Bukan Kerentanan yang Menonjol
Pada bulan April 2024, salah satu dari dua kerentanan TP-Link paling banyak menarik pemindaian kerentanan oleh pelaku ancaman, menurut sebuah analisis oleh perusahaan cloud dan keamanan aplikasi F5. Masalahnya, kerentanan injeksi perintah untuk router Archer AX21 TP-Link (CVE-2023-1389), memungkinkan penyerang yang tidak diautentikasi dengan mudah menyusupi perangkat melalui permintaan POST sederhana.
TP-Link menempati peringkat rendah dalam daftar vendor jaringan dengan kerentanan yang diketahui tereksploitasi. Sumber: Penulis dari data CISA
Dalam insiden lain, perusahaan keamanan Check Point Software Technologies menemukan bahwa perangkat TP-Link juga disusupi dengan implan yang dikenal sebagai Naga Camaro. Komponen yang ditanamkan ditemukan dalam gambar firmware TP-Link yang dimodifikasi, dan bukan perangkat lunak asli yang dikirimkan oleh perusahaan, kata Itay Cohen, pemimpin penelitian di Check Point Research.
Namun Cohen menekankan bahwa implan tersebut ditulis dengan cara firmware-agnostik dan tidak spesifik untuk produk atau vendor tertentu.
“Perlu dicatat bahwa serangan semacam ini tidak ditujukan secara khusus pada jaringan sensitif, melainkan pada jaringan perumahan dan rumah biasa,” katanya. Oleh karena itu, menginfeksi router rumah tidak berarti bahwa pemilik rumah adalah target tertentu, namun perangkat mereka hanyalah sebuah virus. berarti akhir bagi para penyerang.”
Ancaman yang ditimbulkan oleh kerentanan dan implan tersebut memang nyata, namun data dari katalog KEV menunjukkan bahwa produsen lain juga kemungkinan besar akan mengeksploitasi kerentanan mereka – dan masih banyak lagi kerentanan tersebut. Pelajaran yang dapat diambil adalah bahwa kerentanan pada perangkat yang tertanam tidak hanya terjadi pada satu produsen atau negara asal, kata Sonu Shankar, chief product officer di Phosphorus Cybersecurity, sebuah penyedia keamanan siber IoT yang diperluas.
“Aktor-aktor negara sering mengeksploitasi kelemahan perangkat dari perusahaan di seluruh dunia, termasuk yang dijual oleh pabrikan Amerika,” katanya. “Perangkat yang tidak memiliki kebersihan keamanan dasar – seperti penggunaan kata sandi yang kuat, patch firmware yang tepat waktu, atau konfigurasi yang tepat – dapat menjadi sasaran empuk serangan siber.”
TP-Link menekankan fakta ini dalam pernyataan yang dikirim ke Dark Reading.
“Banyak merek elektronik konsumen menjadi sasaran peretas, dan kami mendukung upaya pemerintah untuk menjaga semua produsen menerapkan standar yang sama,” kata juru bicara perusahaan. “Kami menyambut baik peluang untuk terlibat dengan pemerintah federal untuk menunjukkan bahwa praktik keamanan kami sepenuhnya sejalan dengan standar keamanan industri, dan untuk menunjukkan komitmen berkelanjutan kami terhadap pasar Amerika, konsumen Amerika, dan mengatasi risiko keamanan nasional AS.”
Pengawasan Pemerintah Tiongkok Meluas
Namun pernyataan tersebut mungkin meminimalkan pengaruh pemerintah Tiongkok terhadap operasional perusahaan: Sebagian besar perusahaan Barat tidak memahami sejauh mana pejabat Tiongkok memantau sektor bisnis Tiongkok – dan perusahaan keamanan siber – sebagai komponen kebijakan pemerintah dan strategi nasional, NetRise's Pace mengatakan.
“Ini adalah budaya bisnis yang sangat berbeda,” katanya. “Ada anggota RRT di setiap perusahaan — itu bahkan bukan sebuah opini, memang begitulah adanya. Dan jika Anda berpikir mereka tidak ada di sana untuk memberikan pengaruhnya, maka Anda hanyalah orang yang sangat naif, karena itulah tepatnya yang mereka lakukan, [including] untuk tujuan pengumpulan intelijen.”
Analis intelijen ancaman telah menandai dokumen strategi nasional pemerintah Tiongkok dan bukti yang menunjukkan peningkatan upaya mereka untuk membahayakan infrastruktur negara-negara pesaingnya – seperti serangan oleh Topan Volt dan Topan Garam.
“Dalam beberapa tahun terakhir kita melihat meningkatnya minat pelaku ancaman Tiongkok dalam menyusupi perangkat edge, yang bertujuan untuk membangun infrastruktur C2 yang tangguh dan lebih anonim, dan untuk mendapatkan pijakan di jaringan target tertentu,” kata Check Point dalam analisisnya, namun menambahkan bahwa “Penemuan sifat firmware-agnostik dari komponen yang ditanamkan menunjukkan bahwa berbagai perangkat dan vendor mungkin berisiko.”
Bukan hanya produk jaringan Tiongkok saja yang menjadi sasaran pemerintah AS melarang produk perusahaan antivirus Kaspersky karena masalah keamanan nasional, mengingat itu adalah perusahaan Rusia.
Realitas Cyber Global dari Router Rumah: Waspadalah terhadap Pembeli
Perusahaan dan konsumen harus melakukan uji tuntas, selalu memperbarui perangkat mereka dengan patch keamanan terbaru, dan mempertimbangkan apakah produsen perangkat keras penting mereka mungkin memiliki motif sekunder, kata Shankar dari Phosphorus Cybersecurity.
“Sebagian besar serangan yang berhasil terhadap IoT disebabkan oleh masalah yang dapat dicegah seperti kata sandi default yang statis dan tidak berubah, atau firmware yang belum dipatch, sehingga sistem tetap terbuka,” ujarnya. “Bagi pelaku bisnis dan konsumen pengguna akhir, kesimpulan utamanya jelas: menerapkan kebersihan keamanan dasar merupakan pertahanan penting terhadap serangan oportunistik dan canggih. Jangan biarkan pintu depan terbuka.”
Bagi perusahaan yang mengkhawatirkan asal perangkat jaringannya atau keamanan rantai pasokannya, mencari pihak ketiga yang tepercaya untuk mengelola perangkat tersebut adalah pilihan yang masuk akal. Namun kenyataannya, hampir setiap perangkat harus dipantau dan tidak dipercaya, kata Pace dari NetRise.
“Ini adalah dunia yang gila dalam hal keamanan perangkat,” katanya. “Anda menerima perangkat yang tidak Anda ketahui sama sekali – dan Anda benar-benar tidak tahu apa pun tentangnya – tidak seperti Windows [or another operating system] … di mana Anda juga dapat menginstal tiga agen dan firewall di depannya untuk mengurangi risiko perangkat lunak.”
