Cybersecurity

Bug Keamanan SD-WAN Cisco Memungkinkan Eksekusi Kode Root

October 23, 2021 by Søren

Implementasi Cisco SD-WAN rentan terhadap kerentanan eskalasi hak istimewa dengan tingkat keparahan tinggi dalam sistem operasi IOS XE yang dapat menyebabkan eksekusi kode arbitrer.

Sementara itu, IOS XE, adalah sistem operasi vendor yang menjalankan peralatan tersebut. Ini adalah kombinasi dari kernel Linux dan aplikasi monolitik yang berjalan di atas kernel itu.

Bug (CVE-2021-1529) adalah masalah injeksi perintah OS, yang memungkinkan penyerang untuk mengeksekusi perintah yang tidak terduga dan berbahaya secara langsung pada sistem operasi yang biasanya tidak dapat diakses. Ini secara khusus ada di antarmuka baris perintah (CLI) untuk perangkat lunak IOS XE SD-WAN Cisco, dan dapat memungkinkan penyerang lokal yang diautentikasi untuk mengeksekusi perintah sewenang-wenang dengan hak akses root.

Ini hanya kerentanan SD-WAN terbaru dari beberapa yang telah ditambal Cisco tahun ini. Pada bulan Januari, ia memperbaiki beberapa, buffer-overflow kritis dan bug SD-WAN injeksi perintah, yang paling serius dapat dieksploitasi oleh penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer pada sistem yang terpengaruh dengan hak akses root.

Pada bulan Mei, Cisco membahas dua kerentanan keamanan kritis dalam Perangkat Lunak SD-WAN vManage, salah satunya dapat memungkinkan penyerang yang tidak diautentikasi untuk melakukan eksekusi kode jarak jauh (RCE) di jaringan perusahaan atau mencuri informasi.

Dan baru bulan lalu, Cisco mengungkapkan dua kerentanan keamanan kritis yang memengaruhi perangkat lunak IOS XE dan SD-WAN-nya, yang paling parah akan memungkinkan RCE dan penolakan layanan (DoS) yang tidak diautentikasi.

Selengkapnya: Threat Post

Bagaimana Peretas Membajak Ribuan Akun YouTube Terkenal

October 23, 2021 by Søren

Setidaknya sejak 2019, peretas telah membajak saluran YouTube profil tinggi. Terkadang mereka menyiarkan penipuan cryptocurrency, terkadang mereka hanya melelang akses ke akun. Sekarang, Google telah merinci teknik yang digunakan peretas untuk mengkompromikan ribuan pembuat konten YouTube hanya dalam beberapa tahun terakhir.

Semuanya dimulai dengan phishing. Penyerang mengirim email kepada pembuat YouTube yang tampaknya berasal dari layanan nyata—seperti VPN, aplikasi pengeditan foto, atau penawaran antivirus—dan menawarkan untuk berkolaborasi.

Mengeklik tautan untuk mengunduh produk akan membawa pembuatnya ke situs pendaratan malware alih-alih yang sebenarnya. Dalam beberapa kasus, peretas meniru jumlah yang diketahui seperti Cisco VPN dan game Steam, atau berpura-pura menjadi media yang berfokus pada COVID-19.

Setelah YouTuber secara tidak sengaja mengunduh perangkat lunak berbahaya, ia mengambil cookie tertentu dari browser mereka. “Cookie sesi” ini mengonfirmasi bahwa pengguna telah berhasil masuk ke akun mereka.

Seorang peretas dapat mengunggah cookie yang dicuri itu ke server jahat, membiarkan mereka berpura-pura sebagai korban yang sudah diautentikasi. Cookie sesi sangat berharga bagi penyerang karena menghilangkan kebutuhan untuk melalui bagian mana pun dari proses login.

Meskipun otentikasi dua faktor tidak dapat menghentikan pencurian cookie berbasis malware ini, ini merupakan perlindungan penting untuk jenis penipuan dan phishing lainnya. Mulai 1 November, Google akan mewajibkan pembuat konten YouTube yang memonetisasi salurannya untuk mengaktifkan dua faktor untuk akun Google yang terkait dengan Pengelola Konten YouTube Studio atau YouTube Studio mereka.

Penting juga untuk memperhatikan peringatan “Penjelajahan Aman” Google tentang halaman yang berpotensi berbahaya. Dan seperti biasa, berhati-hatilah dengan apa yang Anda klik dan lampiran mana yang Anda unduh dari email Anda.

Selengkapnya: ARS Technica

Apa Yang Diajarkan “Squid Game” Kepada Kita Mengenai Keamanan Siber

October 23, 2021 by Søren

Squid Game, acara Netflix dystopian yang tegang, telah memikat penonton di seluruh dunia, menghasilkan momen TV yang mengingatkan pada Game of Thrones. Di permukaan, acara ini penuh dengan komentar masyarakat dan pesan anti-kapitalis tentang topik-topik seperti ketidaksetaraan kekayaan. Namun, melihat pertunjukan melalui lensa penggemar keamanan siber juga menghasilkan beberapa pelajaran bagi komunitas keamanan.

Bersiap untuk ancaman yang tidak terduga
Sama seperti para pemain Squid Game — yang harus menemukan cara untuk menang di serangkaian permainan anak-anak tanpa mengetahui permainan apa yang akan mereka hadapi sampai mereka mulai bermain — profesional keamanan harus menemukan cara untuk mempertahankan organisasi mereka dari ancaman yang tidak terduga.

Bangun Tim yang Beragam
Setelah game pertama, para pemain Squid Game dengan cepat memutuskan bahwa membentuk aliansi akan membantu mereka bertahan. Membangun tim yang beragam dan tim yang terampil meningkatkan peluang seseorang dalam tim mengetahui strategi, keterampilan, atau pengetahuan yang tepat untuk menang (menghentikan atau menanggapi ancaman dunia maya).

Gunakan Alat yang Tepat
Dua pemain dapat menyelundupkan peralatan setelah pertandingan diadakan kembali — Sae-byeok (Pemain 067) dan Mi-nyeo (Pemain 212), yang masing-masing membawa pisau dan korek api. Pisau itu memungkinkan Sae-byeok untuk mengetahui sebelumnya tentang game pertama dengan mengakses saluran udara. Pemantik membantu dua pemain menyelesaikan game 2 dengan memanaskan jarum mereka untuk melelehkan sarang lebah dengan cepat dengan sedikit risiko memecahkan wafer itu sendiri. Demikian pula, tim keamanan membutuhkan alat yang tepat untuk berhasil mengatasi ancaman yang mereka hadapi.

Proses Penting
Ketika Gi-hun mengetahui bahwa dia bisa menjilat sarang lebah untuk melarutkan gula, itu memberinya keuntungan besar daripada memotong wafernya dengan jarum. Penting juga bagi tim keamanan untuk mendokumentasikan proses mereka sehingga mereka dapat mengulanginya di seluruh anggota staf yang berbeda dan mendapatkan hasil yang sama.

Pertahanan di Pekerjaan Mendalam
Paralel dapat dibuat antara merakit postur keamanan yang efektif dan menjadi tuan rumah Game Squid yang sukses. Dalam kedua kasus tersebut, Anda ingin menghilangkan ancaman (ke organisasi Anda, atau hadiah uang Anda) dalam serangkaian filter yang berurutan. Dalam Squid Game, ini dicapai dengan menundukkan peserta pada permainan anak-anak dan menghilangkan yang kalah. Setiap permainan menghilangkan persentase pemain sampai hanya satu yang tersisa.

Orang Dalam Juga Bisa Menjadi Ancaman
Squid Game memiliki orang dalam yang jahat dan berbahaya. Petugas polisi, Hwang Jun-ho, menyelinap ke dalam permainan untuk menemukan saudaranya dengan membunuh dan mencuri identitas pekerja 29. Ini analog dengan orang dalam yang dikompromikan: Jun-ho berada di dalam batas keamanan permainan, menggunakan identitas yang diketahui dan kredensial, dan tidak selaras dengan niat tuan rumah.

Selengkapnya: Dark Reading

Grup Ransomware REvil Yang Meretas Desain Apple Telah Diretas Oleh FBI

October 23, 2021 by Søren

Grup Ransomware REvil mengatakan pada bulan April bahwa mereka telah meretas sistem milik pemasok Apple Quanta Computer dan memperoleh skema rekayasa internal untuk sejumlah produk baru yang belum dirilis. Ini mendukung klaim ini dengan berbagi contoh, yang awalnya tidak mengungkapkan hal baru.

REvil pertama kali mencoba memeras Quanta untuk $50 juta sebagai imbalan karena tidak membuat file tersedia untuk umum, dan kemudian mencoba hal yang sama dengan Apple.

Ketika ini gagal, REvil melanjutkan dan merilis skema yang mengungkapkan port baru yang ditemukan di MacBook Pro 2021. Skema terbukti akurat saat mesin diluncurkan dengan MagSafe, HDMI, dan slot kartu SD I/O ditampilkan.

Reuters melaporkan bahwa FBI dan lembaga penegak hukum lainnya kini telah membalikkan keadaan pada kelompok tersebut.

Kelompok ransomware REvil sendiri diretas dan dipaksa offline minggu ini oleh operasi multi-negara, menurut tiga pakar dunia maya sektor swasta yang bekerja dengan Amerika Serikat dan satu mantan pejabat […] Situs web kelompok kejahatan “Happy Blog”, yang telah digunakan untuk membocorkan data korban dan memeras perusahaan, tidak lagi tersedia […]

Kepala strategi keamanan siber VMWare Tom Kellermann mengatakan aparat penegak hukum dan intelijen menghentikan kelompok itu dari mengorbankan perusahaan tambahan.

“FBI, bersama dengan Komando Siber, Dinas Rahasia, dan negara-negara yang berpikiran sama, telah benar-benar terlibat dalam tindakan mengganggu yang signifikan terhadap kelompok-kelompok ini,” kata Kellermann, penasihat Dinas Rahasia AS untuk investigasi kejahatan dunia maya. “REvil berada di urutan teratas daftar.”

Selengkapnya: 9T05Mac

Deepfake Audio Mencetak $35 Juta dalam Perampokan Perusahaan

October 23, 2021 by Søren

Sekelompok penipu menghasilkan $35 juta setelah menggunakan pesan email palsu dan audio deepfake untuk meyakinkan seorang karyawan perusahaan Uni Emirat Arab bahwa seorang direktur meminta uang itu sebagai bagian dari akuisisi organisasi lain, menurut permintaan pengadilan federal AS yang diajukan minggu lalu.

Serangan itu menargetkan manajer cabang dengan email yang tampaknya berasal dari direktur dan pengacara yang berbasis di AS, yang email tersebut ditunjuk sebagai koordinator akuisisi. Serangan ini adalah yang terbaru menggunakan audio sintetis yang dibuat menggunakan algoritma pembelajaran mesin, yang dikenal sebagai jaringan saraf, untuk meniru suara seseorang yang dikenal oleh karyawan yang ditargetkan.

Oleh karena itu, audio deepfake dan suara yang disintesis kemungkinan akan menjadi bagian dari teknik penjahat dunia maya di masa depan. Berbagai alat sumber terbuka tersedia untuk memungkinkan siapa saja membuat deepfake, baik video maupun audio, kata Etay Maor, direktur senior strategi keamanan di perusahaan keamanan jaringan Cato Networks.

“Jika ada uang yang dihasilkan, Anda dapat yakin bahwa penyerang akan mengadopsi teknik baru,” kata Maor. “Tidak terlalu canggih untuk menggunakan alat seperti itu. Ketika berbicara tentang suara, itu bahkan lebih mudah.”

Selengkapnya: Dark Reading

Bug Rollover GPS Daemon (GPSD)

October 23, 2021 by Søren

Pemilik dan operator Critical Infrastructure (CI), dan pengguna lain yang memperoleh Coordinated Universal Time (UTC) dari perangkat Global Positioning System (GPS), harus mengetahui bug GPS Daemon (GPSD) di GPSD versi 3.20 (dirilis 31 Desember 2019 ) hingga 3,22 (dirilis 8 Januari 2021).

Pada 24 Oktober 2021, server Network Time Protocol (NTP) yang menggunakan GPSD versi 3.20-3.22 yang disadap dapat mengembalikan tanggal 1.024 minggu—hingga Maret 2002—yang dapat menyebabkan sistem dan layanan menjadi tidak tersedia atau tidak responsif.

CISA mendesak pemilik dan operator CI yang terpengaruh untuk memastikan sistem—yang menggunakan GPSD untuk mendapatkan informasi waktu dari perangkat GPS—menggunakan GPSD versi 3.23 (dirilis 8 Agustus 2021) atau yang lebih baru.

Selengkapnya: National Cyber Awarness

Evil Corp Menuntut $40 Juta pada Serangan Ransomware Baru “Macaw”

October 23, 2021 by Søren

Evil Corp telah meluncurkan ransomware baru bernama Macaw Locker untuk menghindari sanksi AS yang mencegah korban melakukan pembayaran uang tebusan.

Kelompok peretasan Evil Corp, juga dikenal sebagai Indrik Spider dan geng Dridex, telah terlibat dalam kegiatan kejahatan dunia maya sejak 2007, tetapi sebagian besar sebagai afiliasi dengan organisasi lain.

Bulan ini, beberapa operasi Olympus dan Sinclair Broadcast Group sangat terganggu oleh serangan ransomware di akhir pekan.

Bagi Sinclair, itu menyebabkan siaran TV dibatalkan, berbagai acara ditayangkan, dan penyiar berita melaporkan cerita mereka dengan papan tulis dan kertas.

Minggu ini, ditemukan bahwa kedua serangan itu dilakukan oleh ransomware baru yang dikenal sebagai Macaw Locker.

Dalam percakapan dengan Emsisoft CTO Fabian Wosar, BleepingComputer diberitahu bahwa, berdasarkan analisis kode, MacawLocker adalah rebrand terbaru dari keluarga ransomware Evil Corp.

BleepingComputer juga mengetahui dari sumber di industri keamanan siber bahwa hanya dua korban Macaw Locker yang diketahui adalah Sinclair dan Olympus.

Sumber juga membagikan halaman pribadi korban Macaw Locker untuk dua serangan, di mana pelaku ancaman meminta tebusan 450 bitcoin, atau $28 juta, untuk satu serangan dan $40 juta untuk korban lainnya.

Tidak diketahui perusahaan apa yang terkait dengan setiap permintaan tebusan.

Ransomware Macaw Locker akan mengenkripsi file korban dan menambahkan ekstensi .macaw ke nama file saat melakukan serangan.

Selengkapnya: Bleeping Computer

Bug di Perangkat Lunak WinRAR Populer Dapat Membiarkan Penyerang Meretas Komputer Anda

October 22, 2021 by Winnie the Pooh

Kelemahan keamanan baru telah diungkapkan dalam utilitas pengarsipan file trialware WinRAR untuk Windows yang dapat disalahgunakan oleh penyerang jarak jauh untuk mengeksekusi kode berbahaya pada sistem yang ditargetkan, menggarisbawahi bagaimana kerentanan dalam perangkat lunak tersebut dapat menjadi pintu gerbang untuk serangkaian daftar serangan.

Dilacak sebagai CVE-2021-35052, bug berdampak pada versi trial perangkat lunak yang menjalankan versi 5.70. “Kerentanan ini memungkinkan penyerang untuk mencegat dan memodifikasi permintaan yang dikirim ke pengguna aplikasi,” kata Igor Sak-Sakovskiy dari Positive Technologies dalam sebuah laporan. “Ini dapat digunakan untuk mencapai eksekusi kode jarak jauh (RCE) di komputer korban.”

Sak-Sakovskiy mencatat bahwa penyelidikan ke WinRAR dimulai setelah mengamati kesalahan JavaScript yang diberikan oleh MSHTML (alias Trident), mesin browser berpemilik untuk Internet Explorer yang sekarang telah berhenti di support dan yang digunakan di Office untuk merender konten web di dalam Word, Excel, dan PowerPoint dokumen, yang mengarah pada penemuan bahwa jendela kesalahan ditampilkan sekali setiap tiga kali saat aplikasi diluncurkan setelah masa uji coba berakhir.

Dengan mencegat kode respons yang dikirim ketika WinRAR memberi tahu pengguna tentang akhir periode uji coba gratis melalui “notifier.rarlab[.]com” dan memodifikasinya menjadi pesan pengalihan “301 Dipindahkan Secara Permanen”, Positive Technologies menemukan bahwa kode tersebut dapat disalahgunakan untuk men-cache pengalihan ke domain berbahaya yang dikendalikan penyerang untuk semua permintaan berikutnya.

Selain itu, penyerang yang sudah memiliki akses ke domain jaringan yang sama dapat melakukan serangan spoofing ARP untuk meluncurkan aplikasi dari jarak jauh, mengambil informasi host lokal, dan bahkan menjalankan kode berbahaya.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings