Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Bug Facebook Messenger bisa saja memungkinkan peretas untuk memata-matai pengguna

by

Facebook telah memperbaiki bug keamanan utama hari ini di aplikasi Messenger untuk Android yang memungkinkan penyerang untuk melakukan dan menghubungkan panggilan audio Messenger tanpa sepengetahuan atau interaksi penelepon.

Kerentanan tersebut, yang bisa saja disalahgunakan untuk memata-matai pengguna Facebook melalui ponsel Android mereka, ditemukan selama audit keamanan oleh Natalie Silvanovich, seorang peneliti yang bekerja untuk tim keamanan Project Zero Google.

Dalam laporan bug yang dipublikasikan hari ini, Silvanovich mengatakan bug tersebut berada di protokol WebRTC yang digunakan aplikasi Messenger untuk mendukung panggilan audio dan video.

Lebih khusus lagi, Silvanovich mengatakan bahwa masalahnya ada di Session Description Protocol (SDP), bagian dari WebRTC. Protokol ini menangani data sesi untuk koneksi WebRTC, dan Silvanovich menemukan bahwa pesan SDP dapat disalahgunakan untuk menyetujui koneksi WebRTC secara otomatis tanpa interaksi pengguna.

sumber : ZDNET

Highlight dari Unit 42 Cloud Threat Report, 2H 2020

by

Dalam Laporan Ancaman Cloud dari Unit 42 edisi 2H 2020, para peneliti melakukan Red Team exercise, memindai data cloud publik, dan menarik data milik Palo Alto Networks untuk menjelajahi lanskap ancaman dari identitas dan manajemen akses (IAM) dan mengidentifikasi di mana organisasi dapat meningkatkan konfigurasi IAM mereka.

Selama Red Team exercise, peneliti Unit 42 dapat menemukan dan memanfaatkan kesalahan konfigurasi IAM untuk mendapatkan akses admin ke seluruh lingkungan cloud Amazon Web Services (AWS) – potensi pelanggaran data jutaan dolar di dunia nyata.

Para peneliti berhasil mengeksploitasi IAM role trust policy “AssumeRole” yang salah dikonfigurasi untuk mendapatkan akses sementara ke resource sensitif.

Kebijakan yang salah dikonfigurasi memungkinkan setiap pengguna AWS yang tidak berada di akun untuk mengambil peran dan mendapatkan token akses. Hal ini dapat mengakibatkan sejumlah serangan terhadap organisasi, termasuk denial-of-service (DoS) dan ransomware, atau bahkan membuka pintu untuk advanced persistent threat (APT).

Peneliti Unit 42 menemukan bahwa 75% organisasi di Jepang dan Asia-Pasifik (JAPAC), serta 74% organisasi di Eropa, Timur Tengah, dan Afrika (EMEA), menggunakan Google Cloud untuk menjalankan workloads dengan hak istimewa admin.

Sebaliknya, hanya 54% organisasi di Amerika yang menjalankan jenis hak istimewa yang sama. Ini adalah praktik terbaik untuk menjalankan workloads dengan prinsip hak istimewa paling rendah – membatasi izin untuk pengguna seminimal yang mereka butuhkan.

Jika penyerang dapat membahayakan workload dengan hak istimewa admin, penyerang akan mendapatkan tingkat akses yang sama. Ini menyediakan jalur yang mudah bagi penyerang untuk menggunakan sumber daya cloud untuk melakukan serangan, seperti operasi cryptojacking, dengan mengorbankan organisasi.

Laporan selengkapnya dapat dibaca pada tautan di bawah ini;
Sumber: Unit 42 Paloalto

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

by

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Egregor ransomware membombardir printer korban dengan catatam tebusan

by

Ransomware Egregor menggunakan pendekatan baru untuk menarik perhatian korban setelah serangan – ambil catatan tebusan dari semua printer yang tersedia.

Geng ransomware tahu bahwa banyak bisnis lebih suka menyembunyikan serangan ransomware daripada mempublikasikannya, termasuk kepada karyawan, karena takut akan berita yang memengaruhi harga saham dan reputasi mereka.

Untuk meningkatkan kesadaran publik atas serangan tersebut dan menekan korban agar membayar, operasi Egregor diketahui berulang kali mencetak catatan tebusan dari semua jaringan dan printer lokal yang tersedia setelah serangan terjadi.

Menurut BleepingComputer, mereka dapat mengonfirmasi bahwa itu bukan ransomware yang dapat menjalankan pencetakan catatan tebusan.

Sebaliknya, diyakini bahwa penyerang ransomware menggunakan skrip di akhir serangan untuk mencetak catatan tebusan ke semua printer yang tersedia.

Skrip ini belum ditemukan pada saat penulisan.

Sumber: Bleeping Computer

Bug Cisco Webex memungkinkan penyerang untuk bergabung dalam rapat sebagai pengguna hantu

by

Cisco berencana untuk memperbaiki tiga kerentanan di aplikasi konferensi video Webex yang memungkinkan penyerang menyelinap dan bergabung dengan rapat Webex sebagai pengguna bayangan, yang tidak terlihat oleh peserta lain.

Kerentanan tersebut ditemukan awal tahun ini oleh peneliti keamanan dari IBM, yang melakukan peninjauan terhadap alat kerja jarak jauh yang digunakan raksasa perangkat lunak teknologi tersebut secara internal selama pandemi virus corona.

Para peneliti mengatakan tiga bug, jika digabungkan, akan memungkinkan penyerang untuk:
1. Bergabunglah dengan rapat Webex sebagai pengguna bayangan, tidak terlihat oleh orang lain di daftar peserta, tetapi dengan akses penuh ke audio, video, obrolan, dan berbagi layar.
2. Tetap berada dalam rapat Webex sebagai pengguna audio hantu bahkan setelah dikeluarkan darinya.
3. Dapatkan informasi tentang peserta rapat, seperti nama lengkap, alamat email, dan alamat IP. Informasi ini juga dapat diperoleh dari lobi ruang rapat, bahkan sebelum penyerang menerima panggilan.

Peneliti IBM mengatakan bug berada dalam proses “jabat tangan” yang terjadi saat pertemuan Webex baru dibuat. Cisco akan merilis patch hari ini untuk tiga kerentanan Webex yang dilaporkan oleh tim IBM – yaitu CVE-2020-3441, CVE-2020-3471, dan CVE-2020-3419.

sumber : ZDNET

Berikut adalah kata sandi paling umum pada tahun 2020

by

Kembali ke tahun 2015, kata sandi terburuk yang masih umum digunakan termasuk “123456” dan “password.” Lima tahun berlalu, dan contoh-contoh ini masih banyak digunakan.

Setelah menganalisis 275.699.516 kata sandi yang bocor selama pelanggaran data tahun 2020, NordPass dan mitranya menemukan bahwa kata sandi yang paling umum sangat mudah ditebak – dan mungkin perlu waktu kurang dari satu atau dua detik bagi penyerang untuk membobol akun menggunakan kredensial ini. Hanya 44% dari yang tercatat dianggap “unik”.

Pada hari Rabu, penyedia solusi pengelola kata sandi menerbitkan laporan tahunannya tentang keadaan keamanan kata sandi, menemukan bahwa opsi yang paling populer adalah “123456”, “123456789”, “picture1”, “password”, dan “12345678.”

Dengan pengecualian “picture1”, yang akan membutuhkan waktu sekitar tiga jam untuk dipecahkan menggunakan serangan brute-force, setiap sandi memerlukan hanya beberapa detik saja menggunakan dictionary scripts – yang mengumpulkan frasa umum dan kombinasi numerik untuk dicoba – atau lebih sederhana, tebakan manusia.

Sebagai salah satu peserta dalam daftar 200-strong menggambarkan keadaan dalam hal keamanan kata sandi, “whatever”, tampaknya banyak dari kita masih enggan menggunakan kata sandi yang kuat dan sulit untuk dipecahkan – dan sebaliknya, kita malah menggunakan opsi termasuk “football”, “iloveyou”, “letmein”, dan “pokemon”.

10 kata sandi paling umum tahun 2020, berdasarkan kumpulan data NordPass, tercantum di bawah ini:

sumber: ZDNet

Sumber: ZDNet

Grup peretasan mengeksploitasi ZeroLogon di otomotif, gelombang serangan industri

by

Serangan dunia maya aktif dianggap sebagai hasil karya Cicada, juga dilacak sebagai APT10, Stone Panda, dan Cloud Hopper.

Secara historis, kelompok ancaman – pertama kali ditemukan pada 2009 dan yang diyakini AS mungkin disponsori oleh pemerintah China – telah menargetkan organisasi yang terhubung ke Jepang, dan gelombang serangan terbaru ini tampaknya tidak berbeda. Peneliti Symantec telah mendokumentasikan perusahaan dan anak perusahaannya di 17 wilayah, yang terlibat dalam industri otomotif, farmasi, teknik, dan penyedia layanan terkelola (MSP), yang baru-baru ini menjadi sasaran Cicada.

Menurut perusahaan, gelombang serangan terbaru Cicada telah aktif sejak pertengahan Oktober 2019 dan berlanjut hingga setidaknya Oktober tahun ini.

sumber : ZDNET

Worm Lama Tapi Teknik Obfuscation Baru

by

Kemarin saya menemukan skrip JavaSvript yang menarik yang dikirim melalui kampanye phishing biasa (SHA256: 70c0b9d1c88f082bad6ae01fef653da6266d0693b24e08dcb04156a629dd6f81) dan memiliki skor VT 17/61.

Penyamaran skrip sederhana namun efektif: kode berbahaya didekodekan dan diteruskan ke fungsi eval () untuk dieksekusi. Payload adalah string karakter Unicode yang diubah satu per satu melalui fungsi wrwrwrwererw (). Karakter pertama adalah ‘huruf kapital cyrillic ef’ yang memiliki kode desimal 1060. Karakter yang dikembalikan akan menjadi ‘/’ (kode ASCII 47). Anda tidak perlu mendekode ini secara manual, cukup ganti eval () dengan echo () dan Anda akan mendapatkan skrip yang didekodekan. Mari kita lihat. Skrip baru juga dikaburkan tetapi tetap mudah dibaca.
Worm ini telah digunakan berkali-kali dalam berbagai kampanye dan tampaknya masih aktif sampai sekarang. Server C2 adalah hxxp: // dhanaolaipallets [.] Com: 7974 /.

sumber : SANS.EDU