Kerentanan Forcepoint DLP Memungkinkan Manipulasi Memori & Eksekusi Kode Arbitrer

Sebuah kerentanan keamanan serius telah diungkapkan di Forcepoint One DLP Client yang memungkinkan penyerang untuk melewati batasan Python yang diberlakukan vendor dan mengeksekusi kode arbitrer pada komputer perusahaan.

Kerentanan ini diberi kode CVE‑2025‑14026, dan melemahkan kontrol DLP (Data Loss Prevention) yang dirancang untuk melindungi data sensitif organisasi.

 Detail Kerentanan

• Produk yang Terpengaruh: Forcepoint One DLP Client

• Versi Terpengaruh: Versi 23.04.5642 dan kemungkinan versi‑versi berikutnya

• Jenis Kerentanan: Bypass pembatasan keamanan / eksekusi kode arbitrer

• Jalur Serangan: Lokal dengan patch pada modul Python eksternal

Versi Forcepoint One DLP Client yang terpengaruh tersebut menyertakan runtime Python 2.5.4 yang dibatasi — Python ini sengaja dikirim tanpa pustaka ctypes (foreign function interface / FFI) untuk mencegah eksekusi kode berbahaya. Namun, seorang peneliti keamanan bernama Keith Lee menunjukkan cara untuk sepenuhnya melewati mekanisme proteksi ini.

 Bagaimana Penyerang Mengeksploitasi

Penyerang dapat:

1. Memindahkan dependensi ctypes yang sudah dikompilasi dari komputer lain ke sistem target.

2. Menerapkan patch pada modul ctypes.pyd sehingga Python yang semula dibatasi dapat memuat ctypes.

3. Setelah berhasil, Python tersebut dapat langsung memanggil DLL, mengakses/memanipulasi memori, dan menjalankan kode arbitrer atau muatan berbahaya berbasis DLL.

 Dampak terhadap Keamanan

Eksekusi kode arbitrar di dalam proses DLP merupakan masalah serius karena:

• DLP merupakan kontrol keamanan penting pada endpoint perusahaan.

• Penyerang dapat membypass aturan DLP, mengubah perilaku klien, atau mematikan fungsi pemantauan keamanan.

• Eksploitasi yang berhasil dapat berarti pengurangan efektivitas perlindungan DLP dan melemahkan keamanan sistem secara keseluruhan.

 Tindakan Mitigasi & Solusi

Forcepoint telah mengakui kerentanan ini dan menyatakan bahwa runtime Python yang rentan telah dihapus dari build Forcepoint One Endpoint sejak versi 23.11 sebagai bagian dari Forcepoint DLP v10.2.

CERT/CC menyarankan organisasi untuk segera:

• Memperbarui ke versi endpoint terbaru yang tidak lagi menyertakan python.exe.

• Menerapkan versi yang telah di‑patch di semua endpoint perusahaan untuk memulihkan integritas perlindungan DLP.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Forcepoint indonesia, merupakan bagian dari PT. iLogo Infralogy Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi Forcepoint.ilogoindonesia.id untuk informasi lebih lanjut!