Fasilitas Senjata Nuklir AS Ditembus oleh Hacker Asing lewat Kerentanan SharePoint

 (csoonline.com)
1 poin oleh GN⁺ 2025-10-22 | 1 komentar | Bagikan ke WhatsApp
  • Kerentanan keamanan SharePoint membuat peretas asing menembus fasilitas senjata nuklir AS
  • Insiden ini menunjukkan potensi dampak yang menjangkau lingkungan operasional, termasuk sistem jaminan kualitas dan sistem SCADA, bukan sekadar masalah IT
  • Ketidaksesuaian keamanan IT dan OT muncul sebagai isu penting di seluruh lembaga federal
  • Pemerintah federal telah memajukan strategi zero trust untuk jaringan IT tradisional, tetapi penerapannya pada lingkungan OT masih tertinggal
  • Departemen Pertahanan mendorong pengembangan kontrol zero trust untuk OT, dan diperkirakan akan disusun strategi keamanan yang terintegrasi yang mencakup IT dan OT

Kerentanan SharePoint dan Kebocoran Fasilitas Senjata Nuklir AS

  • Terjadi insiden di mana peretas asing memanfaatkan celah SharePoint untuk mengakses fasilitas senjata nuklir AS
  • Pakar Sovada menekankan bahwa akses ini berpotensi memengaruhi sistem kontrol distribusi yang mengelola jaminan kualitas atau sistem SCADA yang menangani kontrol daya dan lingkungan
  • Ini menunjukkan bahwa masalah ini bukanlah sekadar kerentanan IT

Kesenjangan Integrasi IT/OT dan Keamanan Zero Trust

  • Kasus di Kansas City menyoroti masalah struktural berupa ketidakselarasan praktik keamanan antara IT dan OT di seluruh lembaga federal
  • Pemerintah federal sedang mengembangkan roadmap zero trust untuk jaringan IT yang ada
  • Namun, untuk lingkungan operasional (OT), pengembangan kerangka keamanan serupa berjalan relatif terlambat
  • Baru-baru ini, pengembangan kerangka keamanan teknologi operasional (OT) juga mulai menunjukkan kemajuan

Upaya Mengintegrasikan Keamanan IT dan OT

  • Sovada menyebut adanya playbook manajemen IT untuk inisiatif zero trust, segmentasi jaringan, autentikasi, dan manajemen identitas
  • Departemen Pertahanan AS sedang mengembangkan playbook untuk penerapan zero trust di lingkungan OT
  • Pada akhirnya, tujuan akhirnya adalah mengintegrasikan pedoman manajemen zero trust IT dan OT guna membangun keamanan komprehensif yang mencakup semua jenis jaringan

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-22
Komentar Hacker News

  • Salah satu hal pertama yang saya lakukan saat mendapat tawaran kerja adalah memeriksa record MX domain email perusahaan, cara tercepat untuk mengecek diam-diam apakah perusahaan itu berbasis Microsoft. Kalau berbasis Microsoft, itu sinyal merah besar bagi saya. Karena produk Microsoft begitu dominan, jadi saya hanya bicara dari pengalaman pribadi, tapi setelah lebih dari 20 tahun kerja, saya merasa sebagian besar perusahaan dengan tumpukan TI berbasis MSFT cenderung punya budaya engineering yang saya tidak suka. Tidak bisa disimpulkan perusahaan itu berbudaya buruk hanya karena memakai Outlook, SharePoint, Teams, namun tetap menjadi indikator yang lebih mungkin memiliki budaya teknis yang buruk dibanding pertanyaan wawancara apa pun, jadi saya masih memakai cara ini. Mungkin terdengar tidak sopan bagi insinyur yang sangat berfokus pada Microsoft, maaf ya. Masalahnya ada pada saya.

    • Secara jujur, kalau berpikir seperti ini saya terdengar seperti karyawan yang bermasalah. Perusahaan yang tidak memakai Microsoft umumnya memakai Google, dan dari pengalaman saya malah seringnya itu lebih buruk. Saya memang pernah bekerja dengan orang-orang yang membenci Microsoft; tipe orang ini biasanya menghambat karena enggan memakai alat yang sudah dipilih perusahaan. (tambahan: entah kenapa rating tulisan lama saya tiba-tiba turun)

    • Jika perusahaan memberi laptop Mac, itu sinyal positif; sebaliknya laptop Windows adalah sinyal negatif. Perusahaan terbaik yang pernah saya kerjakan menyediakan MacBook dan desktop Linux sebagai perangkat standar untuk setiap software engineer.

    • Sangat setuju. Setelah kerja di dua lingkungan itu, saya sama sekali tidak ingin kembali bekerja di lingkungan Microsoft kecuali gaji tujuh digit.

    • Secara pribadi saya merasa perusahaan dengan rendahnya penghargaan terhadap tenaga kerja (misalnya penyalahgunaan visa H1B) berhubungan dengan penggunaan lingkungan Microsoft. Karena berada di California, rasa hormat terhadap talenta/pekerja lokal hampir tidak ada. Budayanya bahkan cepat memecah serikat pekerja dan bahkan struktur pemerintah negara bagian.

    • Lingkungan begitu buruk. Software dan komputer seolah dianggap sesuatu yang biasa-biasa saja, dan budaya itu tampaknya berdampak buruk juga pada orang-orang yang membangun software.

  • Ketika topik begini muncul, orang biasanya bilang, "Microsoft kan jelek banget lol", tapi saya pikir mereka tak mempertimbangkan alasan bisnis di baliknya. Katakan tidak pakai Exchange, lalu alternatifnya apa? Bisa untuk 15 orang sampai 150 ribu orang? Saya pernah mengelola cluster Exchange untuk 70 ribu pengguna. Ada gak solusi email yang menggantikan sistem dengan endpoint tunggal dan redundansi berbasis non-shared disk? Kalau SharePoint kembali kena dua bug RCE, tidak mengejutkan, kualitas software-nya sendiri biasa saja. Tapi software ini tetap tahan beban besar. Banyak solusi open source yang okay di lingkungan kecil, tapi sering ambruk di skala besar. Saya juga paham kenapa pengembang open source enggan mengerjakan ini secara gratis: antarmukanya membosankan dan penggunaannya menuntut komunikasi dengan pengguna yang buta komputer. Microsoft software juga memberi beberapa kompatibilitas mundur. Di kantor-kantor banyak berkas warisan, resume lama berpuluh tahun yang tak pernah disentuh, file macro Excel, dan software legacy semacam itu. Keamanan mungkin turun kalau mengutak-atik Registry, tapi file macro Excel versi 1997 masih bisa berjalan. Intinya Microsoft punya simpul gordian sendiri, dan nyaris tak ada jalan lain selain “kalau mau kompatibilitas mundur, ya tidak ada lagi—upgrade semuanya”. Sementara itu, beberapa tahun lalu ada klien yang meminta upgrade solusi yang dibuat dengan Exchange Web Services. Microsoft sudah mematikan Exchange Web Services di Office 365 dan meminta pindah ke GraphAPI.

    • Membahas keunggulan produk Microsoft yang berfokus pada Exchange, sementara isu ini sekarang adalah SharePoint. Seperti Windows, Microsoft membangun pertahanan dengan Exchange. Yang menarik adalah kenapa semua perusahaan memilih seluruh ekosistem Microsoft. Apalagi di teknologi web, Microsoft memang sangat jelek, dan SharePoint termasuk paling buruk. Tapi saya rasa ada juga contoh implementasi mail server besar dengan Postfix/Dovecot yang banyak, ya. pengalaman membangun mail server skala besar di Reddit

  • SharePoint katanya kembali kena RCE, banyak orang bilang software ini berbahaya. Pada dasarnya ini kan server berbagi file, kan? (Saya sendiri belum pakai) Saya pikir itu masalah UI. Samba atau FTP server juga tidak ada masalah skala besar.

  • Saya penasaran bagaimana fasilitas manufaktur senjata dulu bisa berjalan tanpa sistem semacam ini.

  • Saya penasaran berapa banyak perusahaan benar-benar butuh Exchange yang melayani 150 ribu pengguna. Bagi produsen manufaktur biasa, skala seperti itu hampir pasti jarang.

  • Saya juga merasa pengembang open source hampir tidak pernah mau menangani software untuk niche membosankan ini yang harus berurusan dengan pengguna buta komputer. Pemerintah bisa mempekerjakan pengembang open source agar berkontribusi pada kepentingan publik. Pemerintah AS pada era pemerintahan Obama membentuk unit 18F dan memang menghasilkan software yang berguna bagi warga. Program seperti pelaporan pajak yang selalu jadi masalah pun dikerjakan dengan efektif, tetapi Trump langsung membubarkan unit ini setelah masa jabatan keduanya dimulai. (referensi: Sejarah dan Nilai 18F, Lawfare: Pelajaran dari warisan 18F)

  • Saya tidak mengerti mengapa fasilitas nasional kritis dipasang SharePoint. Bagaimana mungkin tempat terkait informasi sensitif memakai produk MS seperti ini? Termasuk MS Office 365, Teams, dan Edge. Sepertinya kebijakan keamanan perlu didesain ulang sekarang juga.

    • Ada kabar buruk yang serius untuk situasi ini.

    • Tapi apakah ada solusi alternatif yang direkomendasikan?

    • Saya juga pernah dengar cerita orang menyimpan dokumen rahasia inti di toilet umum resort...

    • Tapi dengan cara begitu, kita bisa memanfaatkannya gratis, kan? /lelucon

  • Pernah ada pengalaman sistem alerting saya down karena Excel. (ini lebih soal efek samping tak terduga daripada kebencian ke MSFT) Saya mengelola sistem alerting dengan mekanisme mencari kata kunci alert_log dari logs. Saya membuat spreadsheet untuk pelacakan data dan menamai salah satu tab 'alert_log'. Karena saya pakai versi Excel cloud, semua teks yang dimasukkan lolos firewall. Di log firewall tercatat teks 'alert_log'. Sistem alerting menganggap keyword itu ada dan terus memicu alert. Alert kedua lalu lagi-lagi memuat isi log firewall sehingga loop tak berujung dimulai. Sistem bisa berinteraksi secara tidak sengaja dan memicu kejadian tak terduga. Karena itu audit, red team, dan pendekatan defense in depth berlapis itu penting.

    • Sebagai insinyur firewall, saya sarankan mematikan pembuatan log saat mengekspor log trafik firewall ke syslog.

  • SharePoint adalah software dengan bug terbanyak dan terburuk yang pernah saya pakai. Bug saat integrasi dengan Solidworks (alat desain 3D) di mana file tiba-tiba tidak bisa dibuka sudah bertahun-tahun. Microsoft tahu bug itu dan tidak ada alasan jelas yang membuatnya tak bisa diselesaikan, tapi tetap dibiarkan bertahun-tahun. Cloud storage Microsoft itu seperti labirin; bahkan tak jelas apakah file yang dicari ada di mana dan apakah berjalan. Ada fitur yang jalan di browser, ada yang cuma di app, dan daftar semacam itu tidak terdokumentasi. Karena itu saya yakin masih banyak lagi celah yang bisa dibobol.

    • Produk cloud Microsoft sekarang selalu membuat saya menghadapi lapisan bug, error, dan performa yang lebih lambat dari dugaan setiap kali dipakai. Baru-baru ini saat setup DKIM untuk mengirim email dari subdomain di 365, menemukan menu DKIM-nya sendiri susah sekali. Ternyata nilai kunci DKIM untuk email subdomain harus ditempelkan di domain root. Sangat tidak efisien.

    • Saat ini saya mengerjakan proyek kontrak pemerintah dan ada tekanan agar semua migrasi dari Slack ke MS Teams. Sudah hampir 20 tahun saya bertahan tanpa produk Microsoft, dan saya mulai sadar bahwa perusahaan besar/instansi publik punya toleransi yang luar biasa panjang terhadap penderitaan UX.

    • Kami mensinkronkan file ke SharePoint yang di-host Microsoft dengan rsync. Untuk file keluarga Microsoft (mis. Excel), saat file tiba metadata internal berubah sehingga checksum berbeda; akibatnya rsync menganggap file berubah dan sinkronisasi berulang dibutuhkan.

    • MS Word online punya bug penghapusan teks setidaknya lebih dari 2 tahun di Firefox Linux (atau OS lain juga?). Prioritas utama text editor seharusnya menulis ke dokumen, tapi itu gak jalan, dan bugnya pun tak juga diperbaiki. Lebih baik pindah ke Overleaf berbayar dan mengajarkan LaTeX atau editor bawaan ke non-eksper. Output dokumen juga bagus, dan Overleaf jalan tanpa berhenti. Sangat memuaskan. Walau jadi pelanggan Microsoft 365 berbayar, saya tetap berpikir prioritas Microsoft aneh. Q&A resmi bug penghapusan teks di versi web MS Word

    • Layanan MS seperti SharePoint seakan diperlakukan seperti anak bermasalah yang terlupakan, meski punya peran yang sangat krusial secara internal.

  • Kalau SharePoint seburuk itu, kenapa tidak ada kasus penyalahgunaan skala besar? Saya menangani banyak perusahaan Fortune 500; secara subjektif lebih dari 90% memakai SharePoint. Tentu implementasinya bervariasi, tapi jika dibuat dengan baik, cukup berguna. Bahkan kalau ada solusi lebih baik, mempertahankan 5–10 produk vendor sekaligus justru lebih berat. Saya juga tidak mengerti yang tidak suka Teams. Saya pakai Zoom, Slack, Discord, dan berbagai collaboration tool lain, tapi Teams juga cukup untuk kebutuhan semua pekerjaan—kalender, meeting, rekaman, pemanfaatan Copilot. Fitur berbagi layar multi secara realtime dan akses channel bebas di Discord enak untuk debugging/pair programming, tapi Teams tetap memenuhi kebutuhan dasar.

    • Mayoritas yang memakai SharePoint hanya membukanya untuk layanan internal. Microsoft kini mendorong deployment SharePoint "baru" sebagai SaaS lewat O365 sehingga MS otomatis mengeksposnya ke internet. Namun sebagai gantinya, Microsoft bertanggung jawab atas patch dan keamanan (seperti WAF).

  • Dari sudut pandang perusahaan yang mendukung sistem OT, setiap kali saya melihat hak tulis langsung dari Level 5 ke Level 1/0 pada model Purdue, saya jadi kebingungan. (tambahan) Penjelasan Model Purdue ada di tautan ini

  • Isu ini mengingatkan saya pada bagian MSSQL di howfuckedismydatabase.com

    • MSSQL secara pribadi saya anggap masuk kategori produk Microsoft yang benar-benar bagus. Ia punya keunikan tersendiri (Oracle juga demikian), tapi fiturnya dan stabilitasnya sangat baik.

  • (Bagi yang ingin melihat insiden keamanan terbaru terkait CVE-2025-53770)

  • Orang yang mengekspose fasilitas fisil nuklir ke internet seharusnya dipenjara.

    • Sebenarnya itu bukan fasilitas fisi nuklir, melainkan pabrik yang memproduksi komponen inti senjata nuklir AS. Dalam pelaporan disebut sistem TI yang jadi target, dan sistem operasional sebenarnya mungkin terpisah air-gapped. Namun fasilitas produksi sensitif pun tak bisa benar-benar terisolasi dari luar. Staf di sana tetap butuh akses untuk kebutuhan dasar—makanan, perlengkapan kantor, tisu toilet—jadi sedikit keterhubungan luar tetap tak terhindarkan.