CISA

CISA Memperingatkan 5 Kelemahan Keamanan yang Dieksploitasi Secara Aktif: Diperlukan Tindakan Mendesak

April 12, 2023 by Flamango

Badan Keamanan Siber dan Infrastruktur A.S. (CISA) pada hari Jumat menambahkan lima kelemahan keamanan ke dalam katalog Kerentanan Eksploitasi yang Diketahui (KEV), mengutip bukti eksploitasi aktif di alam liar.

Kerentanan yang diperbaiki dalam tambalan pada Maret 2021 oleh Veritas antara lain:
– CVE-2021-27876 (skor CVSS: 8.1): Kerentanan Akses File Veritas Backup Exec Agent
– CVE-2021-27877 (skor CVSS: 8.2): Veritas Backup Exec Agent Kerentanan Otentikasi Tidak Benar
– CVE-2021-27878 (skor CVSS: 8.8): Kerentanan Eksekusi Perintah Veritas Backup Exec Agent

Ini termasuk tiga kelemahan tingkat tinggi dalam perangkat lunak Veritas Backup Exec Agent (CVE-2021-27876, CVE-2021-27877, dan CVE-2021-27878) yang dapat menyebabkan eksekusi perintah hak istimewa pada sistem yang mendasarinya.

CISA juga menambahkan CVE-2019-1388 (skor CVSS: 7,8) ke katalog KEV, cacat eskalasi hak istimewa yang memengaruhi Dialog Sertifikat Microsoft Windows yang dapat dieksploitasi untuk menjalankan proses dengan izin yang lebih tinggi pada host yang sudah disusupi.

Kerentanan kelima yang termasuk dalam daftar adalah cacat pengungkapan informasi di Arm Mali GPU Kernel Driver (CVE-2023-26083) yang diungkapkan oleh Google Threat Analysis Group (TAG) sebagai disalahgunakan oleh vendor spyware, bagian dari eksploit rantai untuk membobol smartphone Android Samsung.

Agen Cabang Eksekutif Sipil Federal (FCEB) memiliki waktu hingga 28 April 2023, untuk menerapkan tambalan guna mengamankan jaringan mereka dari potensi ancaman.

Selengkapnya: The Hacker News

Produsen Teknologi Membiarkan Pintu Terbuka untuk Peretasan China, Easterly Memperingatkan

March 1, 2023 by Flamango

Kepala Badan Keamanan Siber dan Infrastruktur pada Senin memperingatkan konsekuensi yang berpotensi mengerikan jika produsen teknologi gagal meningkatkan keamanan produk mereka.

Penyedia teknologi menormalkan perilaku menyimpang yang beroperasi di ambang batas kecelakaan, kata Direktur CISA Jen Easterly dalam pidatonya di Universitas Carnegie Mellon. Budaya industri yang terburu-buru produk ke pasar berbahaya bagi konsumen dan negara, katanya.

Easterly berharap serangan siber yang diluncurkan oleh China diberi tanggapan dan perhatian yang sama seperti serangan balon mata-mata baru-baru ini di wilayah udara AS.

Beban keamanan siber telah ditempatkan pada konsumen, organisasi kecil, tim TI, kepala petugas keamanan informasi (CISO) dan lainnya yang tidak dapat berbuat banyak terhadap penjahat siber berpengalaman dan negara-bangsa.

Alasan AS memiliki industri keamanan siber bernilai miliaran dolar saat ini adalah karena perusahaan belum diberi insentif untuk menyematkan produk mereka dengan fitur keamanan siber sejak awal desain mereka.

Easterly memperingatkan mengenai masa depan, di mana kekuatan dunia telah belajar dari kesalahan langkah perang siber Rusia di Ukraina dan telah menggabungkan serangan fisik dengan serangan siber yang dapat menyebabkan ledakan pipa gas, lumpuhnya transportasi A.S. sistem, dan hal buruk lainnya.

Selengkapnya: The Record

Ransomware AustraliaNewVarian ESXiArgs Baru Muncul Setelah CISA Merilis Alat Decryptor

February 13, 2023 by Flamango

Setelah Cybersecurity and Infrastructure Security Agency (CISA) AS merilis dekripsi untuk korban yang terkena dampak untuk pulih dari serangan ransomware ESXiArgs, pelaku ancaman telah bangkit kembali dengan versi terbaru yang mengenkripsi lebih banyak data.

Dilaporkan oleh administrator sistem di forum online, varian baru ini memiliki file yang lebih besar dari 128MB akan memiliki 50% data terenkripsi, membuat proses pemulihan lebih menantang.

Perubahan penting lainnya adalah penghapusan alamat Bitcoin dari catatan tebusan. Penyerang mendesak korban untuk menghubungi mereka di Tox untuk mendapatkan informasi wallet.

Saatv peneliti sedang melacak pembayaran dan mungkin telah mengetahui sebelum merilis ransomware bahwa proses enkripsi dalam varian asli relatif mudah untuk dielakkan, pelaku ancaman mengetahui itu.

Sebanyak 1.252 server telah terinfeksi oleh versi baru ESXiArgs per 9 Februari 2023, 1.168 di antaranya adalah infeksi ulang. Dan lebih dari 3.800 host unik telah disusupi.

Sebagian besar infeksi berlokasi di Prancis, AS, Jerman, Kanada, Inggris, Belanda, Finlandia, Turki, Polandia, dan Taiwan.

Aspek penting yang membedakan ESXiArgs dari keluarga ransomware lainnya adalah tidak adanya situs kebocoran data, yang menunjukkan bahwa itu tidak berjalan di model ransomware-as-a-service (RaaS).

Total Host ESXiArgs yang Terinfeksi Kembali, 23 Feb 2023

Perusahaan keamanan siber Rapid7 menemukan 18.581 server ESXi yang terhubung ke internet yang rentan terhadap CVE-2021-21974.

Selengkapnya: The Hacker News

Ransomware ESXiArgs Mencapai Lebih Dari 3.800 Server Saat Hacker Terus Meningkatkan Malware

February 10, 2023 by Flamango

Lebih dari 3.800 server di seluruh dunia telah disusupi dalam serangan ransomware ESXiArgs baru-baru ini, mencakup proses yang ditingkatkan.

Beberapa perkembangan baru dalam kasus serangan tersebut termasuk terkait dengan metode enkripsi yang digunakan oleh malware, korban, dan kerentanan yang dieksploitasi oleh para hacker.

Setelah CISA mengumumkan ketersediaan alat open source tersebut, FBI dan CISA merilis dokumen yang memberikan panduan pemulihan.

Saat ini, mesin pencari Shodan dan Censys menunjukkan 1.600-1.800 server yang diretas dan terdapat indikasi bahwa banyak organisasi yang terkena dampak telah mulai menanggapi serangan tersebut dan membersihkan sistem mereka.

Analisis Reuters menetapkan bahwa para korban termasuk Mahkamah Agung Florida dan universitas di Amerika Serikat dan Eropa.

Analisis malware enkripsi file yang digunakan dalam serangan itu menunjukkan bahwa malware tersebut menargetkan file yang terkait dengan mesin virtual (VM). Para ahli memperhatikan bahwa ransomware lebih menargetkan file konfigurasi VM, tetapi tidak mengenkripsi file datar yang menyimpan data, memungkinkan beberapa pengguna memulihkan data mereka.

Hingga saat ini, ransomware tidak mengenkripsi sebagian besar data dalam file besar, tetapi versi baru malware mengenkripsi data dalam jumlah yang jauh lebih signifikan dalam file besar. Para peneliti juga belum menemukan kekurangan dalam enkripsi yang sebenarnya.

Diasumsikan bahwa serangan ESXiArgs memanfaatkan CVE-2021-21974 untuk akses awal, sebuah kerentanan eksekusi koderemote dengan tingkat keparahan tinggi di VMware ESXi yang ditambal oleh VMware pada Februari 2021.

VMware belum mengonfirmasi eksploitasi itu, tetapi dikatakan bahwa tidak ada bukti kerentanan zero-day yang dimanfaatkan dalam serangan tersebut.

Namun, GreyNoise menunjukkan bahwa beberapa kerentanan terkait OpenSLP telah ditemukan di ESXi dalam beberapa tahun terakhir, dan salah satunya dapat dieksploitasi dalam serangan ESXiArgs, termasuk CVE-2020-3992 dan CVE-2019-5544.

Selengkapnya: Security Week

Panduan Pemulihan Mesin Virtual Menggunakan ESXiArgs-Recover

February 9, 2023 by Flamango

ESXiArgs-Recover merupakan alat untuk memungkinkan organisasi mencoba memulihkan mesin virtual yang terkena serangan ransomware ESXiArgs.

Beberapa organisasi telah melaporkan keberhasilan pemulihan file tanpa membayar uang tebusan. Mengetahui hal tersebut, CISA menyusun alat berdasarkan sumber daya yang tersedia untuk umum, termasuk tutorial oleh Enes Sonmez dan Ahmet Aykac.

ESXiArgs-Recover bekerja dengan merekonstruksi metadata mesin virtual dari disk virtual yang tidak dienkripsi oleh malware.

Berikut Panduan Pemulihan Mesin Virtual ESXiArgs Ransomware CISA.

Peringatan
Skrip ESXiArgs CISA didasarkan pada temuan yang diterbitkan oleh peneliti pihak ketiga. Setiap organisasi harus berhati-hati jika menggunakan skrip pemulihan ESXiArgs CISA.

CISA tidak mendukung produk atau layanan komersial apa pun, termasuk subjek analisis apa pun dan tidak bertanggung jawab atas kerusakan yang disebabkan oleh skrip ini.

Langkah Pemulihan Mesin Virtual
1. Unduh skrip ESXiArgs dan simpan sebagai “/tmp/recover.sh”
2. Beri izin eksekusi skrip “chmod +x /tmp/recover.sh”
3. Arahkan ke folder mesin virtual yang ingin di decrypt
4. Jalankan “ls”, lihat file, dan catat nama VMnya
5. Jalankan skrip pemulihan dengan “/tmp/recover.sh [nama vm]”. Jalankan “/tmp/recover.sh [nama] thin” jika mesin virtual berformat tipis
6. Jika berhasil, skrip decryptor akan menampilkan tanda berhasil dijalankan. Jika, mungkin mesin virtual tidak dapat dipulihkan.
7. Jika skrip berhasil, mendaftarkan ulang mesin virtual.
8. Mendaftarkan ulang mesin virtual.
9. Lakukan langkah berikut jika web ESXi tidak dapat diakses.
– “cd /usr/lib/vmware/hostd/docroot/ui/ && mv index.html ransom.html && mv index1.html index.html”
– “cd /usr/lib/vmware/hostd/docroot && mv index.html ransom.html && rm index.html & mv index1.html index.html”
– Reboot server ESXi.
10. Klik kanan pada VM dan pilih “Batalkan Pendaftaran” jika VM yang dipulihkan sudah ada.
11. Pilih “Buat / Daftarkan VM”.
12. Pilih “Daftarkan mesin virtual yang ada”.
13. Klik “Pilih satu atau lebih mesin virtual, penyimpanan data, atau direktori” untuk menavigasi ke folder VM yang di pulihkan. Pilih file vmx di folder.
14. Pilih “Selanjutnya” dan “Selesai”.

Proyek ini berada dalam domain publik di Amerika Serikat, dan hak cipta serta hak terkait dalam karya di seluruh dunia dibebaskan melalui dedikasi domain publik Universal CC0 1.0.

Selengkapnya: GitHub

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

CISA

Cookies Settings