Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cloud

Cloud

Google akan Mulai Mendistribusikan Koleksi Perpustakaan Perangkat Lunak Sumber Terbuka yang Diperiksa Keamanan

by

Google mengumumkan inisiatif baru pada hari Selasa yang bertujuan untuk mengamankan rantai pasokan perangkat lunak sumber terbuka dengan membuat dan mendistribusikan kumpulan paket sumber terbuka yang diperiksa keamanannya kepada pelanggan Google Cloud.

Layanan baru bermerek Assured Open Source Software diperkenalkan dalam posting blog dari perusahaan. Dalam postingan tersebut, Andy Chang, manajer produk grup untuk keamanan dan privasi di Google Cloud, menunjukkan beberapa tantangan dalam mengamankan perangkat lunak sumber terbuka dan menekankan komitmen Google terhadap sumber terbuka.

“Ada peningkatan kesadaran di komunitas pengembang, perusahaan, dan pemerintah tentang risiko rantai pasokan perangkat lunak,” tulis Chang, mengutip kerentanan log4j utama tahun lalu sebagai contoh. “Google terus menjadi salah satu pengelola, kontributor, dan pengguna open source terbesar dan sangat terlibat dalam membantu membuat ekosistem perangkat lunak open source lebih aman.”

Sesuai pengumuman Google, Assured Open Source Software akan memperluas manfaat pengalaman audit perangkat lunak Google yang ekstensif kepada pelanggan Cloud. Semua paket sumber terbuka yang tersedia melalui layanan ini juga digunakan secara internal oleh Google, kata perusahaan itu, dan secara teratur dipindai dan dianalisis untuk mengetahui kerentanannya.

Saat ini, daftar 550 perpustakaan sumber terbuka utama yang terus ditinjau oleh Google tersedia di GitHub. Meskipun semua perpustakaan ini dapat diunduh secara independen dari Google, program Assured OSS akan melihat versi yang diaudit didistribusikan melalui Google Cloud — mengurangi insiden di mana pengembang sengaja atau tidak sengaja merusak perpustakaan sumber terbuka yang banyak digunakan. Saat ini, layanan ini dalam mode akses awal dan diharapkan tersedia untuk pengujian pelanggan yang lebih luas pada Q3 2022.

Sumber: The Verge

Google Cloud Ternyata Memiliki Masalah Keamanan Bahkan Firewall Tidak Bisa Berhenti

by

Kesalahan konfigurasi di Google Cloud Platform telah ditemukan yang dapat memberi pelaku ancaman kontrol penuh atas titik akhir mesin virtual (VM) target, kata para peneliti.

Dalam posting blog yang diterbitkan oleh pakar respons insiden cloud Mitiga, perusahaan mencatat bahwa dengan menggunakan fitur sistem yang sah, penyerang potensial dapat membaca dan menulis data dari VM yang secara teori dapat mengakibatkan pengambilalihan sistem secara lengkap.

Mitiga menekankan bahwa ini bukan kerentanan, atau kesalahan sistem – ini digambarkan sebagai “fungsi yang berbahaya”.

Mitiga mencatat bahwa pelaku ancaman dapat menggunakan API metadata yang terbuka, bernama “getSerialPortOutput”, yang biasanya melacak dan membaca kunci pada port serial.

Para peneliti menggambarkan panggilan API sebagai “metode lama dari sistem debugging”, karena port serial bukanlah port dalam pengertian TCP/UP, melainkan file dalam bentuk /dev/ttySX, mengingat ini adalah Linux.

Setelah mengungkapkan temuan ke Google, perusahaan setuju bahwa kesalahan konfigurasi dapat digunakan untuk melewati pengaturan firewall. Mitiga menyarankan Google mengubah dua hal dalam fungsi getSerialPortOutput – membatasi penggunaannya hanya untuk akun dengan izin tinggi, dan mengizinkan perusahaan untuk menonaktifkan penambahan atau perubahan metadata Compute VM saat runtime.

Selain itu, perusahaan merekomendasikan Google untuk merevisi dokumentasi GCP-nya, untuk lebih memperjelas bahwa firewall dan kontrol akses jaringan lainnya tidak sepenuhnya membatasi akses ke VM.

Sumber: TechRadar

Docker Dalam Kepungan: Penjahat Cyber ​​Mengkompromikan Honeypots untuk Meningkatkan Serangan

by

Penjahat dunia maya meningkatkan serangan mereka ke Docker Engine — fondasi perangkat lunak dari infrastruktur kontainer yang digunakan oleh banyak perusahaan cloud-native. Para peneliti menandai sepasang kampanye siber minggu ini yang menunjukkan peningkatan risiko, termasuk kompromi yang bertujuan meluncurkan serangan denial-of-service (DoS) terhadap target Rusia.

Pada tanggal 5 Mei, para peneliti di platform manajemen cloud Uptycs mengatakan bahwa penyerang mengkompromikan honeypot perusahaan, server Docker yang dikonfigurasi untuk memungkinkan koneksi melalui API Docker jarak jauh. Serangan tersebut mengakibatkan penjahat dunia maya menginstal perangkat lunak cryptomining dan membuat cangkang terbalik, yang memungkinkan mereka menjelajahi server secara real time.

Perusahaan telah mendeteksi 10 hingga 20 upaya untuk mengkompromikan server honeypot setiap hari, menunjukkan bahwa penyerang telah meningkatkan minat mereka pada infrastruktur berbasis Docker, kata Amit Malik, direktur penelitian ancaman di Uptycs.

“Kami mengonfigurasi salah satu mesin kami sebagai honeypot, dan dalam waktu tiga jam, kami melihatnya terganggu, jadi kami harus mematikannya dan membangunnya kembali,” kata Malik. “Titik infeksi sangat cepat.”

Serangan pada infrastruktur berbasis Docker Uptycs tidak unik. Insiden ini juga terjadi pada perusahaan lain.

Daftar target termasuk situs web pemerintah Rusia dan Belarusia, militer, media, dan sektor ritel, serta sektor pertambangan, manufaktur, kimia, dan teknologi Rusia, menurut CrowdStrike.

Divisi Keamanan Perlu Fokus pada Ancaman Docker

Sementara Docker terkenal di komunitas pengembangan dan DevOps, profesional keamanan mungkin tidak menyadari potensi konfigurasi yang tidak aman atau kerentanan untuk merusak keamanan perusahaan, kata Meyers.

Serangan mengkhawatirkan: Pada bulan Desember, startup keamanan Prevasio menemukan bahwa 51% dari 4 juta gambar yang mereka pindai di Docker Hub menyertakan paket yang memiliki kerentanan keamanan kritis. Di bagian depan kesalahan konfigurasi, sementara mengekspos Docker API jarak jauh bukanlah konfigurasi umum — saat ini Shodan menghitung 803 aset yang mengekspos port 2375 — pemindaian port yang relatif sering berarti bahwa kesalahan konfigurasi apa pun akan dieksploitasi dengan cepat.

“Ini adalah teknologi yang relatif baru, dan dengan teknologi baru apa pun ada kurva keamanan yang menyertainya,” kata Meyers. “Ada kurangnya kesadaran umum di sekitar ancaman, dan itulah hal yang kami coba kibarkan di sini. Anda harus menganggap serius keamanan Docker.”

Lebih Banyak Visibilitas Dibutuhkan ke Docker
Untuk memahami tingkat risikonya, bisnis harus memastikan bahwa mereka dapat secara memadai memantau area permukaan serangan aset seperti Docker, server Kubernetes, dan infrastruktur terkait DevOps, kata Siddharth Sharma, seorang peneliti di Uptycs.

“Sebagian besar serangan ini tidak diketahui karena orang mungkin tidak memiliki solusi keamanan komprehensif yang memantau infrastruktur Docker mereka,” katanya. “Jadi penyerang tidak akan sering terdeteksi, kecuali ada yang tidak beres. Tapi seringkali jenis [payload] yang mereka pasang tidak jelas.”

Tahun lalu, Docker mengubah persyaratan lisensi Docker Desktop, pindah ke model berlangganan dan berargumen bahwa perubahan tersebut akan membantu perusahaan mendukung lebih banyak fitur keamanan dan audit. Langkah tersebut dilakukan dua tahun setelah perusahaan berpisah, terbagi menjadi Docker — berfokus pada pengembangan dengan Docker Hub dan Docker Desktop — dan komponen infrastruktur perusahaan Docker Enterprise, yang dijual ke Mirantis.

Sumber: Dark Reading

Peretas mencuri $655K setelah memilih benih MetaMask dari cadangan iCloud

by

MetaMask telah menerbitkan peringatan untuk pengguna iOS mereka tentang benih dompet cryptocurrency yang disimpan di iCloud Apple jika cadangan data aplikasi aktif.

MetaMask adalah dompet cryptocurrency “panas” yang digunakan oleh lebih dari 21 juta investor untuk menyimpan token dompet mereka dan mengelola aset digital mereka.

Dalam istilah cryptocurrency, seed adalah frasa pemulihan rahasia yang terdiri dari 12 kata yang melindungi akses ke konten dompet.

Menyimpan benih dompet di iCloud secara praktis berarti bahwa jika pemilik akun Apple mereka disusupi, aset digital mereka juga berisiko.

Sayangnya, skenario di atas sudah digunakan terhadap setidaknya satu pengguna MetaMask yang telah kehilangan lebih dari $655k akibat serangan phishing yang dibuat dengan baik.

Target menerima beberapa pesan teks yang meminta untuk mengatur ulang akun Apple-nya dan penyerang kemudian menindaklanjuti dengan panggilan dari nomor Apple Inc. palsu yang berpura-pura menjadi agen dukungan perusahaan yang menyelidiki aktivitas mencurigakan di akunnya.

Korban mengikuti instruksi dan memberikan agen dukungan palsu kode verifikasi enam digit yang diterima dari Apple. Segera, dompet MetaMask-nya dikosongkan.

Peretas telah meminta satu pengaturan ulang kata sandi akun Apple terakhir dan yang mereka butuhkan hanyalah verifikasi tambahan untuk mengakses data iCloud korban tempat benih MetaMask dicadangkan. Ini memungkinkan mereka untuk mencuri crypto senilai $655.388.

Untuk menjaga aset digital Anda aman dari serangan rumit seperti itu, pastikan untuk mengecualikan MetaMask dari cadangan iCloud melalui Pengaturan > Profil > iCloud > Kelola Penyimpanan > Cadangan.

Menonaktifkan cadangan iCloud di iOS

Kode otentikasi dua faktor adalah rahasia sementara yang tidak boleh dibagikan kepada siapa pun, terlepas dari seberapa meyakinkan panggilan, email, atau SMS yang muncul. Perwakilan resmi tidak akan pernah memintanya.

Selain itu, pengguna cryptocurrency dapat menyimpan aset mereka lebih aman di cold wallet jika mereka tidak secara aktif memperdagangkannya alih-alih hot wallet MetaMask.

Terakhir, menjauhkan investasi Anda dari media sosial dan saluran publik lainnya membuat Anda tidak menjadi target karena peretas mengawasi korban baru yang bernilai tinggi.

Sumber : Bleeping Computer

Keamanan siber: Negara-negara ini adalah ancaman peretasan baru yang harus ditakuti saat kampanye ofensif meningkat

by

Jumlah operasi peretasan negara-bangsa yang bermusuhan meningkat karena negara-negara baru berinvestasi dalam kampanye penyusupan dunia maya dan kelompok penyerang yang didukung negara mengambil keuntungan dari peningkatan organisasi yang mengadopsi aplikasi cloud.

Laporan Ancaman Global 2022 Crowdstrike merinci bagaimana lanskap ancaman dunia maya telah berkembang selama setahun terakhir. Salah satu perkembangan itu adalah munculnya negara-negara baru yang terlibat dalam operasi siber ofensif, termasuk Turki dan Kolombia.

Serangan oleh kelompok terkait Turki dirinci sebagai serangan oleh ‘Serigala’ sementara serangan oleh operasi Kolombia telah Dijuluki ‘Ocelot’ dengan cara yang mirip dengan cara peneliti keamanan siber menyebut aktivitas yang didukung pemerintah Rusia ‘Beruang’ atau kelompok peretas Cina ‘Panda’.

Kegiatan oleh salah satu kelompok baru ini dirinci dalam laporan; kelompok peretasan yang berbasis di Turki, dijuluki Cosmic Wolf oleh para peneliti, menargetkan data korban yang tidak ditentukan yang disimpan dalam lingkungan cloud Amazon Web Services (AWS) pada April 2021.

Penyerang dapat membobol lingkungan cloud AWS menggunakan nama pengguna dan kata sandi yang dicuri, yang juga memberi penyerang hak istimewa yang diperlukan untuk mengubah baris perintah. Itu berarti mereka dapat mengubah pengaturan keamanan untuk mengizinkan akses langsung Secure Shell Protocol (SSH) ke AWS dari infrastruktur mereka sendiri, memungkinkan pencurian data.

Salah satu alasan negara meningkatkan kemampuan siber ofensif mereka adalah karena dampak pandemi global. Penguncian dan pemeriksaan perjalanan yang ketat mempersulit teknik spionase tradisional untuk menjadi efektif, yang mengarah pada investasi dalam operasi dunia maya.

Pergeseran menuju aplikasi cloud dan layanan cloud IT juga telah memainkan peran tanpa disadari dalam membuat serangan siber menjadi lebih mudah. Munculnya pekerjaan hibrida berarti banyak karyawan tidak berbasis di kantor, alih-alih terhubung dari jarak jauh melalui aplikasi kolaboratif, VPN, dan layanan lainnya menggunakan nama pengguna dan kata sandi.

Itu membuat menjadi produktif saat bekerja dari jarak jauh lebih mudah bagi karyawan tetapi juga membuat segalanya lebih sederhana untuk kelompok peretas, yang secara diam-diam dapat mengakses jaringan dengan nama pengguna dan kata sandi yang dicuri atau ditebak.

Beberapa insiden keamanan siber terbesar dalam beberapa tahun terakhir, seperti serangan SolarWinds dan Microsoft Exchange, telah menunjukkan bagaimana serangan yang menargetkan layanan cloud dan rantai pasokan cloud bisa menjadi kuat, terutama jika cloud salah dikonfigurasi atau dipantau dengan buruk.

Namun, ada langkah-langkah yang dapat diambil organisasi untuk membantu membuat jaringan dan infrastruktur cloud mereka lebih tahan terhadap serangan siber, termasuk penerapan strategi tanpa kepercayaan untuk tidak memercayai perangkat yang terhubung ke jaringan secara default.

Makalah penelitian juga merekomendasikan bahwa organisasi bekerja untuk menghilangkan kesalahan konfigurasi dalam aplikasi dan layanan cloud mereka dengan mengatur pola default untuk menyiapkan cloud, jadi ketika akun baru disiapkan, itu dilakukan dengan cara yang dapat diprediksi, meminimalkan kemungkinan kesalahan manusia tidak terdeteksi.

Sumber : ZDnet

Puma terkena pelanggaran data setelah serangan ransomware Kronos

by

Pabrikan pakaian olahraga Puma terkena pelanggaran data menyusul serangan ransomware yang menghantam Kronos, salah satu penyedia layanan manajemen tenaga kerja Amerika Utara, pada Desember 2021.

Pemberitahuan pelanggaran data yang diajukan ke beberapa kantor jaksa agung awal bulan ini mengatakan penyerang juga mencuri informasi pribadi milik karyawan Puma dan tanggungan mereka dari lingkungan cloud Kronos Private Cloud (KPC) sebelum mengenkripsi data.

Kronos menggambarkan KPC sebagai penyimpanan aman yang dilindungi dari serangan menggunakan firewall, otentikasi multi-faktor, dan transmisi terenkripsi.

Ini digunakan sebagai fasilitas server untuk meng-hosting Workforce Central, Workforce TeleStaff, Enterprise Archive, TeleTime IP, Extensions for Healthcare (EHC), dan lingkungan FMSI.

“Pada 7 Januari 2022, Kronos mengonfirmasi bahwa beberapa informasi pribadi Anda termasuk di antara data yang dicuri. Kami memberi tahu PUMA tentang insiden ini pada 10 Januari 2022.”

Meskipun pemberitahuan pelanggaran tidak menyebutkan berapa banyak karyawan Puma yang informasinya dicuri selama serangan itu, informasi yang diberikan kepada Kantor Kejaksaan Agung Maine mengungkapkan bahwa operator ransomware mendapatkan data milik 6.632 orang.

Puma juga mengatakan bahwa dokumen yang dicuri selama serangan ransomware Kronos termasuk Nomor Jaminan Sosial dalam pengajuan dengan kantor yang sama.

Orang-orang yang terkena dampak pelanggaran data ini juga ditawarkan dua tahun keanggotaan Experian IdentityWorks gratis, yang dilengkapi dengan pemantauan kredit, pemulihan identitas, dan asuransi pencurian identitas.

Peretas juga mencuri kode sumber untuk aplikasi internal Puma pada bulan Agustus dan menjualnya di portal kebocoran data Marketo. Serangan itu dikonfirmasi oleh kepala komunikasi korporat Puma, Robert-Jan Bartunek.

Pembaruan 08 Februari, 04:41 EST: Kepala Komunikasi Senior Puma Kerstin Neuber mengatakan bahwa tidak ada data pelanggan Puma yang terpengaruh dalam pernyataan tindak lanjut yang dikirim setelah kami menerbitkan:

Pada 10 Januari 2022, PUMA Amerika Utara diberi tahu bahwa UKG/ Kronos, salah satu vendor PUMA, sedang mengurangi dampak insiden ransomware. Pelanggaran hanya terjadi di dalam sistem UKG/Kronos. Tidak ada sistem di jaringan PUMA yang dilanggar dan tidak ada data pelanggan PUMA yang terpengaruh. Insiden itu terbatas pada Private Cloud Kronos.

UKG/ Kronos telah melibatkan pakar keamanan siber, memberi tahu pihak berwenang, dan berkomunikasi dengan mereka yang terkena dampak. Setiap pertanyaan media terkait dengan pelanggaran UKG/Kronos yang mendasari harus diarahkan ke UKG karena masalah tersebut sedang diselidiki.

Sumber : Bleeping Computer

macOS 12.3 Akan Merusak Fitur Penyimpanan Cloud Yang Digunakan Oleh Dropbox Dan OneDrive

by

Jika Anda menggunakan Dropbox atau Microsoft OneDrive untuk menyinkronkan file di Mac, Anda harus memperhatikan catatan rilis untuk macOS 12.3 beta hari ini: pembaruan tidak lagi menggunakan extension kernel yang digunakan oleh kedua aplikasi untuk mengunduh file sesuai permintaan.

Extension ini berarti bahwa file tersedia saat Anda membutuhkannya tetapi tidak menghabiskan ruang di disk Anda saat tidak diperlukan. Apple mengatakan bahwa “kedua penyedia layanan memiliki pengganti untuk fungsi ini saat ini dalam versi beta.”

Baik Microsoft dan Dropbox mulai memperingatkan pengguna tentang perubahan ini bahkan sebelum macOS beta rilis. Dropbox memberi tahu pengguna bahwa fungsionalitas file online-only Dropbox akan rusak di macOS 12.3 dan bahwa versi beta dari klien Dropbox dengan perbaikan akan dirilis pada bulan Maret.

Dokumentasi Microsoft untuk fitur Files On-Demand OneDrive lebih detail. Ini menjelaskan bahwa Microsoft akan menggunakan extension Penyedia File Apple untuk versi OneDrive mendatang, bahwa fitur Files On-Demand yang baru akan diaktifkan secara default, dan bahwa Files On-Demand akan didukung di macOS 12.1 dan yang lebih baru.

Ini bukan kali pertama Dropbox dan OneDrive berada di belakang kurva dalam mendukung fitur macOS baru. Kedua perusahaan baru merilis versi Apple Silicon dari klien mereka dalam beberapa bulan terakhir.

Selengkapnya: Ars Technica

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet