Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Cybersecurity

Cybersecurity

Apa Itu Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?

by

Linux dikenal sebagai sistem operasi yang sangat aman. Namun, Linux juga bisa menjadi mangsa celah dan eksploitasi, yang terburuk adalah kerentanan eskalasi hak istimewa yang memungkinkan musuh meningkatkan izin mereka dan berpotensi mengambil alih seluruh organisasi.

Polkit CVE-2021-4034 adalah kerentanan eskalasi hak istimewa kritis yang tidak diketahui selama lebih dari 12 tahun dan mempengaruhi semua distribusi Linux utama.

Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?
Kerentanan eskalasi hak istimewa Polkit mempersenjatai pkexec, bagian yang dapat dieksekusi dari komponen PolicyKit Linux. pkexec adalah executable yang memungkinkan pengguna mengeksekusi perintah sebagai pengguna lain. Kode sumber pkexec memiliki celah yang dapat dieksploitasi oleh siapa saja untuk mendapatkan hak istimewa maksimum pada sistem Linux, yaitu menjadi pengguna root. Bug ini disebut “Pwnkit” dan dilacak sebagai CVE-2021-4034.

Bagaimana CVE-2021-4034 Kerentanan Eskalasi Hak Istimewa Polkit Dieksploitasi?
Polkit adalah paket yang dikirimkan dengan semua distribusi Linux utama dan distribusi server seperti RHEL dan CentOS.

Komponen Polkit memiliki bagian yang dapat dieksekusi, pkexec, menangani bagaimana pengguna dapat menjalankan perintah sebagai pengguna lain. Akar kerentanan terletak pada kode sumber yang dapat dieksekusi.

Eksploitasi Pwnkit menyalahgunakan cara sistem *NIX memproses argumen dan menggunakan mekanisme baca dan tulis di luar batas untuk menyuntikkan variabel lingkungan yang tidak aman untuk mendapatkan hak akses root.

Siapa yang Terdampak Kerentanan CVE-2021-4034?
Kerentanan ini mudah dieksploitasi dan tersebar luas sebagai komponen yang terpengaruh, Penyerang secara agresif mencoba dan mendapatkan pengaruh dengan mengeksploitasi kerentanan ini di lingkungan cloud, ruang operasi bisnis utama. Korban dari kerentanan ini tidak terbatas pada, Ubuntu, Fedora, CentOS, dan Red Hat 8.

Bagaimana Cara Memperbaiki Kerentanan Eskalasi Hak Istimewa Polkit CVE-2021-4034 dan Apakah Anda Aman?
Tidak perlu khawatir mengenai kerentanan Polkit jika menjalankan versi terbaru dari distribusi Linux. Sebagai pemeriksaan keamanan, terdapat beberapa perintah untuk memeriksa versi paket PolicyKit yang terinstal di sistem.

Amankan Server dan Sistem Linux Anda Dari Eksploitasi yang Menghancurkan
Statistik server Linux menunjukkan bahwa Linux adalah sistem operasi yang memberdayakan lebih dari satu juta server web.

Individu dan pengelola server disarankan untuk memperbarui, meningkatkan sistem, dan memutakhirkan paket polkit satu per satu untuk meningkatkan keamanan server.

Selengkapnya: MakeUsOf

EarSpy Dapat Menguping Percakapan Telepon Anda Menggunakan Sensor Gerak

by

Para peneliti dari lima perguruan tinggi Amerika telah secara kolektif mengembangkan serangan side-ch ini

Serangan EarSpy dikembangkan oleh sekelompok peneliti dari beberapa lembaga akademik paling terkenal di Amerika, bersama oleh para ahli dari University of Dayton, New Jersey Institute of Technology, Rutgers University, Texas A&M University, dan Temple University.

Para peneliti menguij EarSpy pada ponsel OnePlus 7T dan OnePlus 9 dengan hasil yang sangat akurat hanya menggunakan data dari lubang suara dan akselerometer bawaan. Sebaliknya, data sulit ditangkap pada model OnePlus lama karena kurangnya speaker stereo. Mereka memeriksa gema yang dihasilkan pada speaker telinga dengan bantuan spektrogram dan ekstraksi fitur domain frekuensi waktu.

Fokus tim adalah mengidentifikasi jenis kelamin pembicara dan isi pidato itu sendiri.

Versi Android terbaru memiliki perangkat keamanan yang lebih kuat, sehingga malware sulit untuk mendapatkan izin yang diperlukan. Namun serangan EarSpy masih dapat melewati perlindungan bawaan ini karena data mentah dari sensor gerak ponsel dapat diakses dengan mudah. Peneliti EarSpy yakin masih mungkin untuk menyusup ke perangkat dan menguping percakapan meskipun ada batasan untuk mendapatkan data dari sensor perangkat.

Mengenai keefektifan serangan ini, para peneliti mengatakan

Menurut peneliti, EarSpy dapat dengan tepat membedakan antara laki-laki dan perempuan hingga 98% kasus. Selain itu, dapat mendeteksi identitas seseorang dengan tingkat akurasi tertinggi 92%. Namun, ini turun menjadi 56% ketika benar-benar memahami apa yang diucapkan. Ini masih 5x lebih akurat daripada membuat tebakan acak.

Mengatasi potensi kerentanan pada smartphone, para peneliti merekomendasikan pembuat smartphone untuk memposisikan sensor gerak jauh dari sumber getaran apapun sambil mengurangi tekanan suara selama panggilan telepon.

Selengkapnya: Android Police

PyTorch mengungkapkan kompromi rantai ketergantungan berbahaya selama liburan

by

PyTorch telah mengidentifikasi dependensi berbahaya dengan nama yang sama dengan pustaka ‘torchtriton’ kerangka kerja. Ini telah menghasilkan kompromi yang berhasil melalui vektor serangan kebingungan ketergantungan.

Admin PyTorch memperingatkan pengguna yang menginstal PyTorch-nightly selama liburan untuk menghapus kerangka kerja dan ketergantungan ‘torchtriton’ palsu.

Dari visi komputer hingga pemrosesan bahasa alami, kerangka kerja pembelajaran mesin open source PyTorch telah menjadi terkenal baik di bidang komersial maupun akademik.

Antara 25 Desember dan 30 Desember 2022, pengguna yang memasang PyTorch-nightly harus memastikan sistem mereka tidak terganggu, tim PyTorch telah memperingatkan.

Peringatan tersebut mengikuti dependensi ‘torchtriton’ yang muncul selama liburan di registri Python Package Index (PyPI), repositori perangkat lunak resmi pihak ketiga untuk Python.

“Harap copot dan segera obortriton, dan gunakan binari malam terbaru (lebih baru dari 30 Desember 2022),” saran tim PyTorch.

Ketergantungan ‘torchtriton’ berbahaya pada PyPI berbagi nama dengan perpustakaan resmi yang diterbitkan di repo PyTorch-nightly. Namun, saat mengambil dependensi dalam ekosistem Python, PyPI biasanya lebih diutamakan, menyebabkan paket berbahaya ditarik ke mesin Anda, bukan yang sah dari PyTorch.

“Karena indeks PyPI lebih diutamakan, paket berbahaya ini diinstal alih-alih versi dari repositori resmi kami. Desain ini memungkinkan seseorang untuk mendaftarkan paket dengan nama yang sama dengan yang ada di indeks pihak ketiga, dan pip akan menginstalnya versi secara default,” tulis tim PyTorch dalam pengungkapan yang diterbitkan kemarin.

Selengkapnya: Bleeping Computer

Terinspirasi oleh film ‘Office Space’, insinyur perangkat lunak Washington mencuri lebih dari $300 ribu dari pemberi kerja, kata jaksa penuntut

by

Seorang pria Washington diduga mentransfer ribuan dolar dari majikannya ke rekening pribadi setelah terinspirasi oleh film kultus 1999 “Office Space,” menurut laporan penangkapan oleh Departemen Kepolisian Seattle.

Ermenildo Valdez Castro, 28, bekerja untuk pengecer online Zulily sebagai insinyur perangkat lunak dari Desember 2018 hingga dia dipecat pada Juni, menurut polisi.

“Mulai musim semi 2022, Castro mulai mengedit kode perangkat lunak Zulily dengan cara yang memungkinkannya mencuri dari perusahaan,” kata laporan polisi tersebut.

Polisi mengatakan Castro memasukkan tiga jenis kode berbahaya dalam proses pembayaran di Zulily dan dengan menggunakan metode tersebut, “mencuri gabungan $302.278,52 sebelum dia diberhentikan pada Juni 2022.”

Tim penipuan Zulily dapat menemukan pola penyesuaian harga pada beberapa produk yang dijual oleh perusahaan, yang menurut polisi dipesan oleh Castro dan dikirim ke kediamannya, kata laporan itu.

Dokumen OneNote di laptop kerja Castro yang disebut “Proyek OfficeSpace” ditemukan melalui penyelidikan, dan di dalamnya, “skema untuk mencuri biaya pengiriman”, diuraikan, menurut laporan tersebut.

Laporan polisi juga mencatat plot film “Office Space” berputar di sekitar para insinyur yang membuat rencana untuk memindahkan pecahan sen ke dalam rekening bank pribadi.

Castro dihubungi polisi dan ditangkap pada 21 Juni. Pada tanggal itu dia berbicara dengan detektif setelah dibacakan haknya. Selama wawancara itu dia “mengonfirmasi bahwa dia menyebutkan rencananya untuk mencuri dari Zulily setelah film itu,” kata polisi.

Castro juga memberi tahu pihak berwenang bahwa dia memesan lebih dari 1.000 item yang dikirim ke rumahnya, dan bahwa itu adalah bagian dari “proses pengujian yang diketahui Zulily, tetapi dia mengklaim bahwa ada skrip yang akan dijalankan segera setelah itu. pada dasarnya akan membatalkan pesanan dan memastikan pesanan tidak diproses, ”kata laporan itu.

Selengkapnya: CNN

Ransomware LockBit Mengklaim Menyerang Porto de Lisboa

by

Serangan dunia maya yang menghantam Port of Lisbon Administration (APL), pelabuhan terbesar ketiga di Portugal, pada hari Natal telah diklaim oleh geng ransomware LockBit.

Pelabuhan Lisbon adalah bagian dari infrastruktur penting di ibu kota Portugal, menjadi salah satu pelabuhan yang paling banyak diakses di Eropa, karena lokasinya yang strategis, dan melayani kapal kontainer, kapal pesiar, dan kapal pesiar.

Menurut pernyataan perusahaan yang dibagikan kepada media lokal pada hari Senin, serangan siber tidak berdampak pada operasi pelabuhan.

LockBit mengancam data leak
APL tidak mengungkapkan sifat serangan dunia maya dalam pengumuman tersebut, tetapi grup ransomware LockBit menambahkan organisasi tersebut ke situs pemerasannya kemarin, sehingga mengklaim serangan tersebut.

Geng ransomware mengklaim telah mencuri laporan keuangan, audit, anggaran, kontrak, informasi kargo, log kapal, detail kru, PII pelanggan (informasi identitas pribadi), dokumentasi pelabuhan, korespondensi email, dan banyak lagi.

Grup telah menerbitkan sampel data yang dicuri tetapi BleepingComputer tidak dapat memverifikasi keabsahannya.

LockBit mengancam akan menerbitkan semua file yang mereka curi selama penyusupan komputer pada 18 Januari 2022, jika tuntutan pembayaran mereka tidak dipenuhi.

Port of Lisbon listed in LockBit 3.0 Tor site (BleepingComputer)

Geng LockBit saat ini berada di versi ketiga dari enkripsi mereka yang menggerakkan proyek RaaS (ransomware sebagai layanan) yang terkenal, dan salah satu geng paling produktif tahun ini.

Serangan penting lainnya baru-baru ini dari LockBit menargetkan Continental, raksasa otomotif multinasional, yang terdaftar di situs Tor geng ransomware pada November 2022.

Minggu ini, media Jepang menyebarkan desas-desus bahwa departemen kejahatan dunia maya dari kepolisian Jepang membantu setidaknya tiga perusahaan domestik memulihkan sistem mereka secara gratis setelah serangan LockBit 3.0.

Sumber : BleepingComputer

Netgear Peringati Users Untuk Patch Bug Router Wifi Yang Diperbaiki

by

Netgear telah memperbaiki kerentanan tingkat tinggi yang memengaruhi beberapa model router WiFi dan menyarankan pelanggan untuk memperbarui perangkat mereka ke firmware terbaru yang tersedia sesegera mungkin.

Cacat tersebut berdampak pada beberapa model router Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6), dan Wireless AC.

Dampak dari eksploitasi buffer overflow yang berhasil dapat berkisar dari crash setelah penolakan layanan hingga eksekusi kode arbitrer, jika eksekusi kode tercapai selama serangan.

Penyerang dapat mengeksploitasi kelemahan ini dalam serangan dengan kompleksitas rendah tanpa memerlukan izin atau interaksi pengguna.

Dalam penasehat keamanan yang diterbitkan pada hari Rabu, Netgear mengatakan “sangat menyarankan agar Anda mengunduh firmware terbaru sesegera mungkin.”

Daftar router yang rentan dan versi firmware yang ditambal dapat ditemukan pada tabel di bawah ini.

Cara memperbarui firmware router Anda
Untuk mengunduh dan menginstal firmware terbaru untuk router Netgear Anda, Anda harus melalui langkah-langkah berikut:

  • Kunjungi NETGEAR Support.
  • Mulailah mengetik nomor model Anda di kotak pencarian, lalu pilih model Anda dari menu drop-down segera setelah muncul.
  • Jika Anda tidak melihat menu tarik-turun, pastikan Anda memasukkan nomor model dengan benar atau pilih kategori produk untuk menelusuri model produk Anda.
  • klok download
  • Di bawah Current Version, pilih unduhan pertama yang judulnya dimulai dengan Firmware Version.
  • Klik Release Noted
  • Di bawah Versi Saat Ini, pilih unduhan pertama yang judulnya dimulai dengan Versi Firmware.

Kerentanan buffer overflow pra-otentikasi tetap ada jika Anda tidak menyelesaikan semua langkah yang disarankan, Netgear juga memperingatkan.

“NETGEAR tidak bertanggung jawab atas konsekuensi apa pun yang dapat dihindari dengan mengikuti rekomendasi dalam pemberitahuan ini.”

sumber : bleeping computer

Ukraina Menutup Call Center Penipuan Yang Mengklaim 18.000 Korban

by

Sekelompok penipu yang beroperasi dari pusat panggilan Ukraina menipu ribuan korban sambil berpura-pura menjadi karyawan keamanan TI di bank mereka.

Mereka menghubungi para korban, mengklaim bahwa rekening bank mereka telah diakses oleh penyerang, dan meminta informasi keuangan yang mengklaim bahwa itu diperlukan untuk mencegah penipuan tetapi malah mengosongkan rekening bank mereka.

Skema ini diungkap oleh Cyber Police Department, Main Investigative Department of the National Police, Kejaksaan Agung, dan aparat penegak hukum di Kazakhstan.

Setelah mendapatkan informasi tersebut, pelaku mentransfer uang korban ke rekening yang dikuasainya, mengeluarkan pinjaman cepat, dan mengirimkan sejumlah pinjaman ke rekening mereka.

Penipu menggunakan rekening bank luar negeri dan dompet mata uang kripto untuk mengumpulkan uang yang dihasilkan dari skema mereka dan, menurut perkiraan penyelidik, menipu sekitar 18.000 warga Republik Kazakhstan dengan jumlah uang yang belum diketahui.

Database info pribadi yang ditemukan selama penggerebekan polisi
Aparat penegak hukum juga telah menggeledah call center dan rumah tinggal para tersangka, menyita 45 buah perangkat komputer, ponsel, kartu SIM, dan catatan draft.

Setelah diperiksa, polisi dunia maya Ukraina juga menemukan database yang berisi informasi pribadi warga negara Republik Kazakhstan yang digunakan penipu untuk menggelapkan uang dari rekening mereka.

Pada bulan Agustus, Polisi Nasional Ukraina (NPU) membongkar jaringan pusat panggilan yang digunakan oleh penjahat dunia maya untuk menargetkan korban penipuan mata uang kripto dengan kedok membantu mereka memulihkan dana yang dicuri.

Setahun yang lalu, penegak hukum Ukraina menangkap 51 tersangka yang diyakini telah menjual data pribadi milik lebih dari 300 juta orang di seluruh dunia, termasuk Ukraina, AS, dan Eropa, di forum peretasan.

sumber : bleeping computer

Speaker Google Home Memungkinkan Peretas Mengintai Percakapan

by

Bug di speaker pintar Google Home memungkinkan pemasangan akun backdoor yang dapat digunakan untuk mengontrol dari jarak jauh dan mengubahnya menjadi perangkat pengintai dengan mengakses umpan mikrofon.

Tahun lalu, seorang peneliti menerima $107.500 karena menemukan masalah tersebut dan melaporkannya ke Google. Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana kelemahan tersebut dapat dimanfaatkan.

Proses Kompromi
Dalam eksperimennya, peneliti menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah secara remote melalui cloud API.

Melalui pemindaian Nmap, ditemukan port untuk API HTTP lokal Google. Jadi peneliti menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Lalu lintas HTTPS (terenkripsi) yang diambil (downrightnifty.me)

Menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan “cloud ID” dari API lokalnya. Dengan informasi ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan pengguna jahat ke perangkat target, analis mengimplementasikan proses penautan dalam skrip Python yang mengotomatiskan pengelupasan data perangkat lokal dan mereproduksi permintaan penautan.

Permintaan penautan yang membawa data ID perangkat (downrightnifty.me)

Kemungkinan Implikasi
Selain melakukan tindakan melalui speaker Google Home secara remote, seperti mengontrol saklar pintar, melakukan pembelian online, membuka kunci pintu dan kendaraan, peneliti menemukan cara untuk menyalahgunakan perintah panggilan telepon.

Perutean berbahaya yang menangkap audio mikrofon (downrightnifty.me)

Jika LED perangkat menyala biru saat melakukan panggilan, merupakan indikasi bahwa beberapa aktivitas sedang berlangsung. Jika korban menyadarinya, mereka mungkin menganggap perangkat sedang memperbarui firmware-nya.

Hal ini juga memungkinkan untuk memutar media pada speaker pintar yang disusupi, mengganti nama, memaksa reboot, memaksa melupakan jaringan Wi-Fi tersimpan, memaksa pemasangan Bluetooth atau Wi-Fi baru, dan banyak lagi.

Perbaikan Google
Google memperbaiki semua masalah pada April 2021 dengan tambalan mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Beranda.

Deauthenticating Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas dalam menangani perintah panggilan telepon.

Selengkapnya: BLEEPINGCOMPUTER