Sebuah celah keamanan kritis telah diungkap pada Forcepoint One DLP Client, yang memungkinkan penyerang melewati pembatasan Python yang diterapkan vendor dan mengeksekusi kode sewenang-wenang pada endpoint perusahaan.
Detail Kerentanan
-
ID CVE: CVE-2025-14026
-
Produk yang Terkena: Forcepoint One DLP Client
-
Versi Terkena: Versi 23.04.5642 dan kemungkinan versi berikutnya
-
Jenis Kerentanan: Bypass pembatasan keamanan / Eksekusi kode sewenang-wenang
-
Vektor Serangan: Lokal dengan patch pada ctypes.pyd
Pada versi yang rentan, runtime Python 2.5.4 yang disertakan sengaja dibatasi dengan menghilangkan pustaka foreign function interface ctypes, yang seharusnya mencegah eksekusi kode berbahaya. Namun, seorang peneliti keamanan menemukan cara untuk mengembalikan fungsi ctypes, dengan mentransfer dependensi ctypes yang sudah dikompilasi dari sistem lain dan menerapkan patch pada modul ctypes.pyd.
Dengan patch dan penempatan yang benar di jalur pencarian Python, lingkungan Python yang sebelumnya dibatasi ini dapat memuat ctypes lagi. Hal ini memungkinkan penyerang untuk memanggil DLL, memanipulasi memori, dan mengeksekusi shellcode atau payload DLL secara langsung.
Dampak Potensial
Eksekusi kode sewenang-wenang dalam klien DLP dapat:
-
Mengganggu atau melewati kontrol pencegahan kehilangan data (DLP)
-
Mengubah perilaku klien DLP
-
Mematikan fungsi pemantauan keamanan pada endpoint
Karena klien DLP berperan sebagai kontrol keamanan penting di endpoint perusahaan, eksploitasi yang berhasil dapat secara signifikan melemahkan efektivitas perlindungan DLP dan menurunkan keamanan sistem secara keseluruhan.
Tanggapan Vendor dan Rekomendasi
Forcepoint telah mengakui kerentanan ini dan menghapus runtime Python yang rentan dari versi Forcepoint One Endpoint mulai dengan versi 23.11, sebagai bagian dari rilis Forcepoint DLP v10.2.
Pusat Respons Keamanan (CERT/CC) menyarankan organisasi untuk segera memperbarui ke versi klien yang sudah tidak lagi menyertakan Python.exe yang rentan demi memulihkan integritas perlindungan DLP.
Intinya:
Celah ini adalah kerentanan lokal serius yang memungkinkan penyerang mengambil alih fungsi klien DLP dengan memulihkan modul Python yang dibatasi. Untuk mitigasi, penting bagi organisasi yang memakai Forcepoint One DLP Client untuk menginstal pembaruan terbaru segera.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Forcepoint indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi Forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!