Cybersecurity

Berbicara tentang Keamanan Siber, Administrasi Biden Lebih Agresif

January 18, 2023 by Mally

Kebijakan baru akan memberdayakan badan-badan AS untuk meretas jaringan penjahat dan pemerintah asing, di antara perubahan lainnya.

Presiden Biden akan menyetujui kebijakan yang lebih jauh dari upaya sebelumnya untuk melindungi perusahaan swasta dari peretas jahat.

Hal ini bertujuan membuat aktor jahat tidak mampu melakukan kampanye yang mendukung dunia maya berkelanjutan yang akan mengancam keamanan nasional atau keselamatan publik Amerika Serikat.

AS akan mengganggu dan membongkar jaringan permusuhan sebagai bagian dari kampanye gencar dan berkelanjutan dibawah strategi baru.

Kampanye akan dikoordinasikan oleh Satuan Tugas Gabungan Investigasi Siber Nasional FBI yang bekerja sama dengan semua lembaga AS yang relevan dan perusahaan swasta akan menjadi mitra penuh.

Amerika Serikat telah melakukan operasi serangan dunia maya selama beberapa dekade. Strategi yang disetujui Biden hanya mencakup operasi ofensif yang dirancang untuk mengganggu upaya aktor yang bermusuhan untuk meretas jaringan AS.

Keamanan dunia maya adalah inti dari bisnis mereka. Jika terlalu sering diretas, pelanggan akan mengambil simpanan mereka di tempat lain. Namun, untuk utilitas publik, keamanan siber sangat mahal. Peraturan wajib diperlukan untuk mendorong mereka menjadi tindakan.

Bagaimanapun, strategi baru tidak akan menyelesaikan masalah yang ada. Ada beberapa sektor di mana Kongres perlu mengeluarkan otoritas untuk mengaturnya. Dan Kongres baru, setidaknya di pihak DPR, tampaknya tidak tertarik untuk meloloskan banyak hal, apalagi peraturan tambahan tentang bisnis.

Seperempat abad kemudian, strategi baru Biden berjalan jauh untuk memahami geografi baru ini. Pentagon sedang menyusun strategi dunia maya baru, menerapkan prinsip surat kabar Gedung Putih pada kebijakan dunia maya, baik defensif maupun ofensif secara luas.

Selengkapnya: Slate

Git menambal dua kelemahan keamanan eksekusi kode jarak jauh yang kritis

January 18, 2023 by Mally

Git telah menambal dua kerentanan keamanan tingkat kritis yang memungkinkan penyerang mengeksekusi kode arbitrer setelah berhasil mengeksploitasi kelemahan buffer overflow berbasis heap.

Cacat khusus Windows ketiga yang memengaruhi alat Git GUI yang disebabkan oleh kelemahan jalur pencarian yang tidak tepercaya memungkinkan pelaku ancaman yang tidak diautentikasi untuk menjalankan serangan dengan kompleksitas kode rendah yang tidak tepercaya.

Dua kerentanan pertama (CVE-2022-41903 dalam mekanisme pemformatan komit dan CVE-2022-23521 dalam parser .gitattributes) ditambal pada hari Rabu dalam versi baru kembali ke v2.30.7.

Yang ketiga, dilacak sebagai CVE-2022-41953, masih menunggu tambalan, tetapi pengguna dapat mengatasi masalah tersebut dengan tidak menggunakan perangkat lunak Git GUI untuk mengkloning repositori atau menghindari kloning dari sumber yang tidak tepercaya.

Pakar keamanan dari X41 (Eric Sesterhenn dan Markus Vervier) dan GitLab (Joern Schneeweisz) menemukan kerentanan ini sebagai bagian dari audit kode sumber keamanan Git yang disponsori oleh OSTIF.

Pengguna yang tidak dapat segera memperbarui untuk mengatasi bug eksekusi kode jarak jauh kritis CVE-2022-41903 juga dapat mengambil tindakan berikut untuk memastikan bahwa penyerang tidak dapat menyalahgunakan fungsionalitas Git yang rentan:

Nonaktifkan ‘arsip git’ di repositori yang tidak dipercaya atau hindari menjalankan perintah pada repo yang tidak dipercaya
Jika ‘arsip git’ diekspos melalui ‘daemon git,’ nonaktifkan saat bekerja dengan repositori yang tidak tepercaya dengan menjalankan perintah ‘git config –global daemon.uploadArch false’

“Kami sangat menyarankan agar semua penginstalan yang menjalankan versi yang terpengaruh oleh masalah [..] dimutakhirkan ke versi terbaru sesegera mungkin,” GitLab memperingatkan.

sumber : bleepingcomputer

Peretas Beralih ke Iklan Pencarian Google untuk Mendorong Malware Pencuri Info

January 18, 2023 by Mally

Peretas menyiapkan situs web palsu untuk perangkat lunak bebas dan sumber terbuka populer untuk mempromosikan unduhan berbahaya melalui iklan di hasil penelusuran Google.

Setidaknya satu pengguna terkemuka di kancah cryptocurrency telah menjadi korban kampanye, mengklaim itu memungkinkan peretas mencuri semua aset kripto digital mereka bersama dengan kendali atas akun profesional dan pribadi mereka.

Tanpa sepengetahuan Alex, ini kemungkinan adalah malware pencuri informasi yang mencuri kata sandi browser, cookie, token Discord, dan dompet cryptocurrency yang disimpan dan mengirimkannya ke penyerang jarak jauh.

Segera, Alex menemukan bahwa akun mereka di pasar OpenSea NFT juga telah disusupi dan dompet lain terdaftar sebagai pemilik salah satu aset digital mereka.

Crypto influencer NFT God’s online accounts hacked
sumber: NFT God

The distribution method was unknown at the time but separate reports in December from cybersecurity companies Trend Micro and Guardio revealed that hackers were abusing the Google Ads platform to push malicious downloads in search results.

Kebingungan iklan berbahaya di hasil pencarian Google
situs web berisi unduhan perangkat lunak palsu yang didistribusikan hanya melalui hasil penelusuran Google Ads. Situs web tersebut meniru apa yang tampak sebagai perusahaan desain web resmi di India bernama Zensoft Tech.

Sayangnya, kami tidak dapat memverifikasi apakah unduhan itu berbahaya tetapi karena domain tersebut adalah URL yang salah ketik, situs tersebut memblokir mesin telusur agar tidak mengindeks konten dan mempromosikan unduhan hanya melalui iklan di hasil penelusuran, ada indikasi kuat adanya aktivitas berbahaya.

Di antara perangkat lunak yang kami temukan di situs web adalah utilitas kompresi file 7-ZIP dan WinRAR, dan pemutar media VLC yang banyak digunakan.

Pemblokir iklan dapat meningkatkan perlindungan
Pemblokir iklan tersedia sebagai ekstensi di sebagian besar browser web dan, seperti namanya, mereka menghentikan pemuatan iklan dan ditampilkan di halaman web, termasuk hasil pencarian.

Selain menambah kenyamanan penggunaan internet, pemblokir iklan juga meningkatkan privasi dengan mencegah kuki pelacak di iklan mengumpulkan data tentang kebiasaan menjelajah Anda.

Namun, dalam kasus ini, ekstensi semacam itu dapat membuat perbedaan antara kehilangan akses ke informasi sensitif atau akun online Anda dan mendapatkan sumber daya digital dari vendor yang sah.

Peretas dapat menggunakan GitHub Codespaces untuk menghosting dan mengirimkan malware

January 18, 2023 by Mally

Dalam laporan baru oleh Trend Micro, para peneliti mendemonstrasikan bagaimana GitHub Codespaces dapat dengan mudah dikonfigurasi untuk bertindak sebagai server web untuk mendistribusikan konten berbahaya sambil berpotensi menghindari deteksi karena lalu lintas berasal dari Microsoft.

Saat meneruskan port di VM Codespace, fitur GitHub akan menghasilkan URL untuk mengakses aplikasi yang berjalan di port tersebut, yang dapat dikonfigurasi sebagai pribadi atau publik.

Port forward pribadi memerlukan autentikasi dalam bentuk token atau cookie untuk mengakses URL. Namun, port publik dapat diakses oleh siapa saja yang mengetahui URL tanpa memerlukan otentikasi.

Fitur GitHub ini memberi pengembang fleksibilitas dalam demonstrasi kode, tetapi Trend Micro mengatakan penyerang saat ini dapat dengan mudah menyalahgunakannya untuk menghosting malware di platform.

Analis mengatakan bahwa sementara HTTP digunakan secara default dalam sistem penerusan port Codespaces, pengembang dapat mengaturnya ke HTTPS, meningkatkan ilusi keamanan untuk URL.

Karena GitHub adalah ruang tepercaya, alat antivirus cenderung membunyikan alarm sehingga pelaku ancaman dapat menghindari deteksi dengan biaya minimal.

Codespaces abuse attack diagram (Trend Micro)

Melanjutkan serangan
Analis Trend Micro juga mengeksplorasi penyalahgunaan Dev Containers di GitHub Codespaces untuk membuat operasi distribusi malware mereka lebih efisien.

Sebuah “wadah dev” di GitHub Codespaces adalah wadah pra-konfigurasi yang berisi semua dependensi dan alat yang diperlukan untuk proyek tertentu. Pengembang dapat menggunakannya untuk penerapan cepat, membagikannya dengan orang lain, atau terhubung melalui VCS.

Penyerang dapat menggunakan skrip untuk meneruskan port, menjalankan server HTTP Python, dan mengunduh file berbahaya di dalam Codespace mereka.

Selanjutnya, visibilitas port disetel ke publik, yang membuat server web dengan direktori terbuka yang menyajikan file berbahaya ke target.

BleepingComputer dapat mereplikasi pembuatan server web “jahat” menggunakan Codespaces dalam waktu kurang dari 10 menit, tanpa pengalaman dengan fitur tersebut.

Menjalankan server web pada GitHub Codespaces VM

Kebijakan GitHub adalah ruang kode yang tidak aktif akan dihapus secara otomatis setelah 30 hari, sehingga penyerang dapat menggunakan URL yang sama selama sebulan penuh.

Meskipun tidak ada penyalahgunaan GitHub Codespaces yang diketahui saat ini, laporan tersebut menyoroti kemungkinan yang realistis, karena pelaku ancaman umumnya lebih memilih untuk menargetkan platform “bebas penggunaan” yang juga dipercaya oleh produk keamanan.

sumber : bleepingcomputer

Lebih dari 4.000 perangkat Sophos Firewall rentan terhadap serangan RCE

January 18, 2023 by Mally

Lebih dari 4.000 perangkat Sophos Firewall yang terpapar akses Internet rentan terhadap serangan yang menargetkan kerentanan eksekusi kode jarak jauh (RCE) kritis.

Sophos mengungkapkan cacat injeksi kode ini (CVE-2022-3236) yang ditemukan di Portal Pengguna dan Webadmin Sophos Firewall pada bulan September dan juga merilis hotfix untuk beberapa versi Sophos Firewall (perbaikan resmi dikeluarkan tiga bulan kemudian, pada Desember 2022).

Instans Sophos Firewall yang menjalankan versi produk lama harus ditingkatkan secara manual ke versi yang didukung untuk menerima hotfix CVE-2022-3236 secara otomatis.

Admin yang tidak dapat menambal perangkat lunak yang rentan juga dapat menghapus permukaan serangan dengan menonaktifkan akses WAN ke Portal Pengguna dan Webadmin.

Thousands of devices are still vulnerable
Saat memindai Internet untuk perangkat Sophos Firewall, peneliti kerentanan VulnCheck Jacob Baines menemukan bahwa dari lebih dari 88.000 kejadian, sekitar 6% atau lebih dari 4.000 menjalankan versi yang belum menerima perbaikan terbaru dan rentan terhadap serangan CVE-2022-3236.

Meskipun sudah dieksploitasi sebagai zero-day, eksploitasi proof-of-concept CVE-2022-3236 belum dipublikasikan secara online.

Namun, Baines mampu mereproduksi eksploit dari informasi teknis yang dibagikan oleh Zero Day Initiative (ZDI) dari Trend Micro, sehingga kemungkinan pelaku ancaman juga akan segera dapat melakukannya.

Tantangan CAPTCHA Firewall Sophos (Jacob Baines)

Bug Firewall Sophos sebelumnya ditargetkan dalam serangan
Pada bulan Maret 2022, Sophos menambal bug Sophos Firewall kritis serupa (CVE-2022-1040) di modul Portal Pengguna dan Webadmin yang mengaktifkan pintasan autentikasi dan serangan eksekusi kode arbitrer.

Itu juga dieksploitasi dalam serangan sebagai hari nol sejak awal Maret (kira-kira tiga minggu sebelum Sophos merilis tambalan) terhadap organisasi Asia Selatan oleh kelompok ancaman China yang dilacak sebagai DriftingCloud.

sumber : bleepingcomputer

Masalah 212: Kendali jarak jauh kendaraan, Peretasan API untuk Tim QA, Panduan API Top 10

January 16, 2023 by Mally

Kerentanan API kritis memungkinkan peneliti menunjukkan bukti serangan konsep yang memungkinkan pengambilalihan kendaraan jarak jauh.

Kerentanan: Kerentanan API Kritis Memungkinkan Kendali Jarak Jauh Kendaraan Hyundai dan Genesis
Penelitian Sam Curry tentang kerentanan API yang memengaruhi jajaran kendaraan Hyundai dan Genesis adalah membuat bukti konsep yang merinci eksploit dan menjelaskan langkah-langkahnya secara mendetail di utas Twitter.

Poin utamanya adalah jangan pernah mempercayai input pengguna, tetap gunakan ekspresi reguler yang terpercaya, dan segmentasikan kontrol akses pengguna.

Artikel: Tiga alasan tim QA harus mempelajari peretasan API
Kontributor reguler buletin Dana Epp (@DanaEpp), membagikan pemikirannya tentang nilai tim jaminan kualitas (QA) yang mempelajari dasar-dasar peretasan API dan menggunakan pola pikir ofensif.

Tiga alasan utama tim QA harus mengembangkan keterampilan tersebut, yaitu pengguna akan memberikan nilai lebih, menjadi penjahat mengubah pengguna menjadi pahlawan, dan keamanan adalah tanggung jawab semua orang.

Artikel: GitHub Mengungkapkan Versi API Generasi Berikutnya
Pembuatan versi API penting bagi keamanan API, karena memiliki sistem versi API formal berarti ada sedikit kemungkinan API bayangan atau zombie karena ada proses formal seputar tata kelola API. Namun, sistem versi yang lebih lancar seperti yang diadopsi oleh GitHub berarti kemungkinan akan ada lebih banyak versi API dalam produksi yang semuanya perlu dilacak dan dipantau untuk masalah keamanan.

Panduan: Panduan OWASP API Security Top 10
Langkah-langkah dari OWASP API Security Top 10 dari Grant Ongers (@rewtd) aplikasi API rentan vAPI, menggunakan vAPI yang berjalan di Docker dan mendemonstrasikan masing-masing dari 10 Teratas menggunakan Postman dan ZAP sebagai alat dasarnya.

Selengkapnya: APIsecurity.io

Implan Linux Canggih Ditemukan Mengompromikan Perangkat Keamanan Jaringan Fortinet

January 15, 2023 by Mally

Minggu ini, perusahaan merilis detail lebih lanjut tentang implan malware canggih yang disebarkan oleh penyerang melalui celah tersebut.

Kerentanan, dilacak sebagai CVE-2022-42475, berada dalam fungsionalitas SSL-VPN FortiOS dan dapat dieksploitasi oleh penyerang jarak jauh tanpa autentikasi.

Fortinet memberi peringkat kerentanan 9,3 (Kritis) pada skala CVSS dan merilis pembaruan untuk varian utama FortiOS, FortiOS-6K7K, dan FortiProxy, produk gerbang web aman perusahaan.

Analis tidak dapat memulihkan semua file dari alat yang disusupi yang mereka analisis, sehingga rantai serangan penuh tidak diketahui. Namun, mereka menemukan file bernama wxd.conf yang isinya mirip dengan file konfigurasi untuk reverse proxy open-source yang dapat digunakan untuk mengekspos sistem di belakang NAT ke internet.

Analisis penangkapan paket jaringan dari alat menyarankan malware menghubungkan dua server eksternal yang dikendalikan penyerang untuk mengunduh muatan tambahan dan perintah untuk dieksekusi.

Fortinet juga telah merilis tanda tangan IPS (sistem pencegahan intrusi) untuk mendeteksi upaya eksploit, serta aturan deteksi untuk implan yang dikenal di mesin antivirusnya.

sumber : paulponraj

Hal-hal Buruk Datang dalam Paket Besar: Bypass Verifikasi Tanda Tangan .pkg di MacOS

January 15, 2023 by Mally

Kerentanan (CVE-2022-42841) yang dapat digunakan untuk memodifikasi paket penginstal yang ditandatangani tanpa membatalkan tanda tangannya. Kerentanan ini dapat disalahgunakan untuk mem-bypass Gatekeeper, SIP dan dalam kondisi tertentu meningkatkan hak istimewa ke root.

Kerentanan
Untuk paket yang ditandatangani, hash TOC perlu digunakan untuk dua pemeriksaan berbeda:

Hash TOC yang dihitung harus sama dengan hash TOC yang disimpan di heap.
Tanda tangan dan sertifikat harus sesuai dengan hash TOC.

Ini diterapkan di lokasi berikut dalam kode sumber xar.

Di sini, TOC yang dihitung dibandingkan dengan nilai yang disimpan di heap.

https://github.com/apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/archive.c#L391-L484

Ini pertama mengambil atribut atribut checksum dari dokumen XML sebagai nilai const char *. Kemudian, strtoull mengubahnya menjadi bilangan bulat 64-bit yang tidak ditandatangani dan disimpan dalam variabel offset.

Untuk mendapatkan hash TOC untuk memvalidasi tanda tangan, sedikit kode serupa digunakan:
https://github.com/Apple-oss-distributions/xar/blob/f67a3a8c43fdd35021fd3d1562b62d2da32b4f4b/xar/lib/signature.c#L244-L276

Perhatikan di sini perbedaan kecil tapi sangat penting: sementara perbandingan pertama menyimpan offset dalam offset uint64_t (integer unsigned 64-bit), di sini ia menggunakan offset uint32_t (integer unsigned 32-bit). Perbedaan ini berarti bahwa jika offset berada di luar rentang yang dapat disimpan dalam nilai 32-bit, kedua pemeriksaan tersebut dapat menggunakan offset heap yang berbeda.

Dengan demikian, dimungkinkan untuk memodifikasi file xar tanpa membatalkan tanda tangannya sebagai berikut:

Ambil file xar yang ditandatangani dengan benar dan parsing TOC.
Ubah nilai offset checksum menjadi 4294967296 (dan buat perubahan lain yang Anda inginkan pada file yang disertakan, seperti menambahkan skrip prainstal berbahaya atau mengganti skrip pemeriksaan instalasi).
Tulis TOC yang dimodifikasi kembali ke file dan hitung hash TOC baru.
Tambahkan padding hingga heap berukuran tepat 4294967296 byte (4 GiB).
Tempatkan hash TOC baru di heap offset 4294967296, biarkan hash TOC asli di heap offset 0.

Perbaikan
Ini diperbaiki oleh Apple dengan perbaikan 2 karakter: mengubah uint32_t menjadi uint64_t di macOS 13.1.

selengkapnya : sector7

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cybersecurity

Cookies Settings