Satu setengah tahun setelah Microsoft mengungkapkan kerentanan BlueKeep yang memengaruhi layanan Windows RDP, lebih dari 245.000 sistem Windows masih belum menerapkan perbaikan dan rentan terhadap serangan.
Jumlah tersebut mewakili sekitar 25% dari 950.000 sistem Windows yang pada awalnya diketahui rentan terhadap serangan BlueKeep selama pemindaian pertama pada Mei 2019.
Lalu, lebih dari 103.000 sistem Windows juga masih rentan terhadap SMBGhost, kerentanan dalam protokol Server Message Block v3 (SMB) yang disertakan dalam versi Windows terbaru, yang diungkapkan pada Maret 2020.
Kedua kerentanan tersebut memungkinkan penyerang untuk mengambil alih sistem Windows secara remote dan dianggap sebagai beberapa kerentanan kritis Windows yang diungkapkan selama beberapa tahun terakhir.
Namun, terlepas dari tingkat keparahannya, banyak sistem yang belum menerapkan perbaikan, menurut penelitian yang dikumpulkan selama beberapa minggu terakhir oleh SANS ISC, Jan Kopriva (1, 2).
Kopriva mengatakan bahwa BlueKeep dan SMBGhost bukan satu-satunya kerentanan utama yang dapat dieksploitasi dari jarak jauh yang masih terekspos keberadaannya secara online akhir-akhir ini.
Menurut peneliti keamanan, masih ada jutaan sistem yang belum menerapkan perbaikan terekspos secara online dan rentan terhadap pengambilalihan secara remote. Ini termasuk sistem seperti server IIS, agen email Exim, klien OpenSSL, dan situs WordPress.
Penyebab mengapa sistem ini belum menerapkan perbaikan masih tidak diketahui, bahkan peringatan yang baru-baru ini dikeluarkan oleh badan keamanan siber pemerintah AS pun tidak membantu.
Ini termasuk dua peringatan dari Badan Keamanan Nasional AS (NSA), satu dikeluarkan pada Mei (untuk bug Exim CVE-2019-10149 yang dieksploitasi oleh peretas dari Rusia), dan yang kedua pada bulan Oktober (untuk bug BlueKeep yang dieksploitasi oleh peretas dari Tiongkok).
Namun, terlepas dari peringatan ini, masih ada lebih dari 268.000 server Exim yang belum menerapkan perbaikan dan lebih dari 245.000 belum menerapkan perbaikan untuk BlueKeep.
Kopriva mengatakan angka-angka tersebut menunjukkan bahwa “bahkan kerentanan yang sangat terkenal pun terkadang diabaikan selama bertahun-tahun.”
“Mengingat betapa berbahayanya dan terkenalnya BlueKeep, hal ini menimbulkan pertanyaan tentang berapa banyak kerentanan kritis lain yang kurang terkenal masih belum diperbaiki pada sejumlah sistem yang sama,” tambah Kopriva.
