Exploit

Operasi Triangulasi: Perangkat iOS yang Ditargetkan dengan Malware yang Sebelumnya Tidak Dikenal

June 2, 2023 by Flamango

Perusahaan sedang melakukan pemantauan lalu lintas jaringan Wi-Fi yang khusus digunakan untuk perangkat seluler menggunakan Platform Pemantauan dan Analisis Terpadu Kaspersky (KUMA). Mereka menemukan adanya aktivitas mencurigakan yang dari beberapa ponsel iOS.

Mereka mengambil tindakan dengan membuat cadangan luring dari perangkat yang dimaksud, memeriksanya menggunakan mvt-ios Perangkat Verifikasi Seluler dan menemukan jejak penyusupan. Kampanye ini disebut “Operasi Triangulasi”.
KUMA,
Mengidentifikasi artefak tertentu dengan menggunakan garis waktu ini, menunjukkan adanya kompromi. Ini memungkinkan untuk memajukan penelitian dan untuk merekonstruksi urutan infeksi umum:
1. Perangkat iOS target menerima pesan melalui layanan iMessage, dengan lampiran berisi eksploit.
2. Tanpa interaksi pengguna apa pun, pesan tersebut memicu kerentanan yang mengarah pada eksekusi kode.
3. Kode di dalam eksploitasi mengunduh beberapa tahap berikutnya dari server C&C, mencakup eksploitasi tambahan untuk eskalasi hak istimewa.
4. Setelah berhasil dieksploitasi, muatan akhir diunduh dari server C&C, merupakan platform APT berfitur lengkap.
5. Pesan awal dan eksploit dalam lampiran dihapus

Garis waktu beberapa perangkat menunjukkan bahwa mereka mungkin terinfeksi ulang setelah melakukan boot ulang. Saat penulisan pada Juni 2023, serangan sedang berlangsung, dan versi terbaru dari perangkat yang berhasil ditargetkan adalah iOS 15.7.

Malware dapat diidentifikasi dengan andal jika perangkat jika perangkat disusupi meskipun menyertakan bagian kode yang didedikasikan khusus untuk menghapus jejak penyusupan.

Jika perangkat baru disiapkan dengan memigrasikan data pengguna dari perangkat lama, cadangan iTunes perangkat tersebut akan berisi jejak penyusupan yang terjadi pada kedua perangkat, dengan timestemps yang benar.

Tahapan metodologi forensik yang dilakukan peneliti dimulai dari persiapan dengan mencadangkan semua perangkat target potensial harus dicadangkan, instalasi MVT, opsional dengan mendekripsi cadangan, kemudian parsing cadangan menggunakan MVT, setelah itu memeriksa timeline.csv untuk indikator.

Aktivitas jaringan selama eksploitasi yaitu dapat diidentifikasi dengan urutan beberapa kejadian koneksi HTTPS untuk eksploitasi yang berhasil. Hal ini dapat ditemukan dalam data netflow yang diperkaya dengan informasi host DNS/TLS, atau dump PCAP.

Urutan eksploitasi jaringan, dump Wireshark

Selengkapnya: SecureList

Peretas menargetkan 1,5 juta situs WordPress dengan eksploitasi plugin izin cookie

May 25, 2023 by Coffee Bean

Serangan yang sedang berlangsung menargetkan kerentanan Unauthenticated Stored Cross-Site Scripting (XSS) di plugin persetujuan cookie WordPress bernama Beautiful Cookie Consent Banner dengan lebih dari 40.000 pemasangan aktif.

Dalam serangan XSS, pelaku ancaman menyuntikkan skrip JavaScript berbahaya ke situs web yang rentan yang akan dijalankan di dalam browser web pengunjung.

Dampaknya dapat mencakup akses tidak sah ke informasi sensitif, pembajakan sesi, infeksi malware melalui pengalihan ke situs web berbahaya, atau penyusupan total sistem target.

Versi plugin yang ditambal juga telah diperbarui untuk memperbaiki dirinya sendiri jika situs web menjadi sasaran serangan ini.

Meskipun gelombang serangan saat ini mungkin tidak dapat menyuntikkan situs web dengan muatan berbahaya, pelaku ancaman di balik kampanye ini dapat mengatasi masalah ini kapan saja dan berpotensi menginfeksi situs mana pun yang tetap terbuka.

Pekan lalu, pelaku ancaman juga mulai menyelidiki internet untuk situs web WordPress yang menjalankan versi rentan dari plugin Essential Addons for Elementor dan WordPress Advanced Custom Fields.

Kampanye dimulai setelah rilis eksploitasi proof-of-concept (PoC), memungkinkan penyerang yang tidak diautentikasi untuk membajak situs web setelah mengatur ulang kata sandi admin dan mendapatkan akses istimewa.

selengkapnya : bleepingcomputer.com

Hacker Mengeksploitasi Kerentanan WordPress Dalam Beberapa Jam Setelah Rilis Eksploit PoC

May 17, 2023 by Flamango

Eksploitasi kerentanan mengarah ke serangan cross-site scripting (XSS) di mana pelaku ancaman dapat menyuntikkan skrip berbahaya, pengalihan, iklan, dan bentuk manipulasi URL lainnya ke situs korban. Ini dapat mendorong skrip tidak sah ke pengunjung situs yang terpengaruh tersebut.

Menurut blog Akamai, pelaku ancaman telah mulai mengeksploitasi kerentanan yang baru-baru ini diungkapkan di WordPress, dalam waktu 24 jam setelah eksploitasi proof-of-concept (PoC) diterbitkan oleh perusahaan.

Kerentanan tingkat tinggi CVE-2023-30777 diidentifikasi oleh peneliti Patchstack pada 2 Mei, memungkinkan pengguna yang tidak diautentikasi mencuri informasi sensitif.

Dalam hal ini, eskalasi hak istimewa di situs WordPress dengan mengelabui pengguna yang memiliki hak istimewa untuk mengunjungi jalur URL yang dibuat. Kerentanan yang dijelaskan telah diperbaiki di versi 6.1.6, juga diperbaiki di versi 5.12.6, ”kata Patchstack dalam laporan terperinci pada 5 Mei yang menyertakan contoh muatan.

Peneliti keamanan di Akamai telah menemukan bahwa telah terjadi upaya serangan yang signifikan dalam waktu 48 jam setelah kode sampel diposting. Pelaku ancaman telah menggunakan sampel untuk memindai situs web rentan yang belum menerapkan tambalan atau mengupgrade ke versi terbaru.

Pengamatan menyoroti bahwa waktu respons untuk penyerang menurun dengan cepat, meningkatkan kebutuhan akan manajemen tambalan yang kuat dan cepat.

Dalam aktivitas yang dipantau oleh Akamai, aktor ancaman menyalin dan menggunakan kode sampel Patchstack dari artikel tersebut. Kegiatan ini dilakukan di semua vertikal.

Pelaku ancaman yang disponsori negara juga menggunakan kerentanan yang diketahui untuk mendapatkan akses awal ke organisasi pemerintah dan mengganggu infrastruktur penting, kata Tenable.

Firma keamanan tersebut menyarankan bahwa organisasi harus fokus pada langkah-langkah keamanan siber preventif daripada langkah-langkah keamanan siber pasca-acara reaktif untuk memitigasi risiko. Pembaruan dan tambalan rutin harus diterapkan.

Selengkapnya: arsTechnica

Hacker mengeksploitasi kelemahan plugin WordPress yang memberikan kontrol penuh atas jutaan situs

April 2, 2023 by Coffee Bean

Peretas secara aktif mengeksploitasi kerentanan kritis dalam plugin WordPress yang banyak digunakan yang memberi mereka kemampuan untuk mengambil kendali penuh atas jutaan situs, kata para peneliti.

Kerentanan, yang memiliki tingkat keparahan 8,8 dari kemungkinan 10, hadir di Elementor Pro, sebuah plugin premium yang berjalan di lebih dari 12 juta situs yang didukung oleh sistem manajemen konten WordPress. Elementor Pro memungkinkan pengguna membuat situs web berkualitas tinggi menggunakan berbagai alat, salah satunya adalah WooCommerce, plugin WordPress terpisah. Saat kondisi tersebut terpenuhi, siapa pun yang memiliki akun di situs—misalnya pelanggan atau pelanggan—dapat membuat akun baru yang memiliki hak administrator penuh.

Kerentanan itu ditemukan oleh Jerome Bruandet, seorang peneliti di perusahaan keamanan NinTechNet. Minggu lalu, Elementor, pengembang plugin Elementor Pro, merilis versi 3.11.7, yang menambal kekurangan tersebut. Dalam sebuah posting yang diterbitkan pada hari Selasa, Bruandet menulis:

Siapa pun yang menggunakan Elementor Pro harus memastikan mereka menjalankan 3.11.7 atau lebih baru, karena semua versi sebelumnya rentan. Ini juga merupakan ide bagus bagi pengguna ini untuk memeriksa situs mereka untuk tanda-tanda infeksi yang tercantum di pos PatchStack.

selengkapnya : arstechnica.com

Google Menemukan Lebih Banyak Android, iOS Zero-days Digunakan untuk Menginstal Spyware

March 30, 2023 by Flamango

Grup Analisis Ancaman Google (TAG) menemukan beberapa rantai eksploit menggunakan Android, iOS, dan Chrome kerentanan zero-day dan n-day untuk menginstal spyware komersial dan aplikasi berbahaya di perangkat target.

Penyerang menargetkan pengguna iOS dan Android dengan rantai eksploitasi terpisah, sebagai bagian dari kampanye pertama yang terlihat pada November 2022.

Penyerang menggunakan pesan teks yang mendorong tautan singkat bit.ly untuk mengarahkan korban ke situs web pengiriman yang sah dari Italia, Malaysia, dan Kazakhstan setelah pertama kali mengirim mereka ke halaman yang memicu eksploitasi yang menyalahgunakan eksekusi kode jarak jauh WebKit iOS zero-day (CVE-2022-42856) dan bug sandbox escape (CVE-2021-30900).

Pada perangkat iOS yang disusupi, pelaku ancaman menjatuhkan muatan yang memungkinkan mereka melacak lokasi korban dan memasang file .IPA.

Ini merupakan bagian dari upaya berkelanjutan untuk mengawasi pasar spyware tentara bayaran dan melacak kerentanan zero-day yang mereka manfaatkan untuk memasang alat mereka pada perangkat rentan hak asasi manusia dan aktivis politik, jurnalis, politisi, dan petinggi lainnya. pengguna risiko di seluruh dunia.

Peneliti Google TAG menautkan kerangka eksploit yang Heliconia dan menargetkan kerentanan Chrome, Firefox, dan Microsoft Defender ke perusahaan perangkat lunak Variston IT Spanish pada November 2022.

Kemudian pada Juni 2022, beberapa Penyedia Layanan Internet (ISP) membantu vendor spyware Italia, RCS Labs, untuk menginfeksi perangkat pengguna Android dan iOS di Italia dan Kazakhstan dengan alat pengawasan komersial pada Juni

Selengkapnya: BleepingComputer

Peretas Mengeksploitasi Cacat Eskalasi Hak Istimewa Microsoft Outlook di Alam Liar

March 19, 2023 by Coffee Bean

Menanggapi penemuan kerentanan kritis di Microsoft Outlook, CVE-2023-23397, yang secara aktif dieksploitasi oleh pelaku ancaman, Cisco Talos mendesak semua pengguna Outlook untuk memperbarui klien email mereka sesegera mungkin setelah kerentanan ditemukan .

Sementara Microsoft kemudian menentukan bahwa aktivitas tersebut dihasilkan dari aktor yang berbasis di Rusia, dan mereka digunakan dalam serangan yang ditargetkan terhadap sejumlah organisasi.

Sebagai akibat dari eksploitasi kerentanan keamanan ini, serangan dilakukan antara pertengahan April dan Desember 2022. Selama ini, pelaku ancaman menargetkan dan menerobos jaringan sekitar 15 organisasi penting terkait dengan:-

Pemerintah
Militer
Energi
Transportasi

Detail Cacat
Kerentanan CVE-2023-23397 memengaruhi semua produk Microsoft Outlook yang berjalan di sistem operasi Windows. Ini adalah kerentanan di NTLM dan dapat dieksploitasi untuk pencurian kredensial untuk mendapatkan akses kaya ke organisasi melalui eskalasi kerentanan hak istimewa.

CVE ID: CVE-2023-23397
Dirilis: 14 Mar 2023, Terakhir diperbarui: 15 Mar 2023
Dampak: Peningkatan Hak Istimewa
Rangkuman: Peningkatan Kerentanan Privilege Microsoft Outlook
Keparahan: Kritis
Skor CVSS: 9.8

Pelaku ancaman dapat membuat email, undangan kalender, atau tugas yang berisi properti MAPI yang diperluas “PidLidReminderFileParameter.”

“PidLidReminderFileParameter” memungkinkan klien untuk menentukan nama file suara yang akan diputar saat pengingat untuk suatu objek terlambat.

Properti PidLidReminderFileParameter ini digunakan oleh penyerang untuk menentukan jalur ke share SMB yang dikendalikan oleh penyerang melalui Konvensi Penamaan Universal (UNC).

Penyerang mungkin dapat menggunakan hash Net-NTLMv2 yang dikirim oleh sistem yang rentan untuk melakukan serangan Relay NTLM terhadap sistem lain.

Mitigasi
Akibatnya, peneliti Microsoft telah menegaskan beberapa mitigasi utama yang harus diikuti organisasi sebagai tindakan pencegahan untuk menjaga diri mereka aman dari serangan cyber semacam ini:-

Menginstal tambalan, Microsoft menyediakan sesegera mungkin akan ideal untuk mengatasi kerentanan ini.
Untuk mencegah penggunaan NTLM sebagai metode otentikasi, pengguna harus menggunakan Grup Keamanan Pengguna yang Dilindungi.
Sangat penting bahwa Anda memblokir port keluar TCP/445 dari jaringan Anda untuk mencegah pesan NTLM meninggalkan jaringan.
Skrip yang dirilis oleh Microsoft memberi administrator kemampuan untuk mengaudit server Exchange mereka untuk item pesan yang memiliki PidLidReminderFileParameters yang disetel ke jalur Konvensi Penamaan Universal (UNC).
Admin harus membersihkan properti dan menghapus item berbahaya atau bahkan menghapus item secara permanen jika diperlukan dengan bantuan skrip ini.

Microsoft Outlook di Windows dipengaruhi oleh kerentanan eskalasi hak istimewa ini dengan tingkat keparahan 9,8, yang memengaruhi semua versi aplikasi.

Dengan mengirimkan email jahat ke target, penyerang dapat menggunakan kerentanan ini untuk mencuri kredensial NTLM mereka dalam hitungan detik.

Setiap kali Outlook terbuka, pengingat akan ditampilkan di sistem, dan tidak diperlukan interaksi dengan pengguna karena eksploitasi terjadi secara otomatis.

Singkatnya, sangat disarankan oleh analis keamanan bahwa admin harus segera menerapkan dan memeriksa semua mitigasi yang disarankan untuk mencegah serangan apa pun secara efektif.

selengkapnya : cybersecuritynews.com

Google memperingatkan pengguna untuk mengambil tindakan guna melindungi dari kelemahan yang dapat dieksploitasi dari jarak jauh di ponsel Android populer

March 17, 2023 by Coffee Bean

Unit riset keamanan Google membunyikan alarm pada serangkaian kerentanan yang ditemukan di chip Samsung tertentu yang disertakan dalam lusinan model Android, perangkat yang dapat dikenakan, dan kendaraan, karena khawatir kelemahan tersebut dapat segera ditemukan dan dieksploitasi.

Dengan mendapatkan kemampuan untuk menjalankan kode dari jarak jauh pada tingkat baseband perangkat — pada dasarnya modem Exynos yang mengonversi sinyal sel menjadi data digital — penyerang akan dapat memperoleh akses yang hampir tak terbatas ke data yang mengalir masuk dan keluar dari perangkat yang terpengaruh, termasuk panggilan seluler, pesan teks, dan data seluler, tanpa memberi tahu korban.

Saat pengungkapan berlangsung, jarang melihat Google — atau firma riset keamanan mana pun — membunyikan alarm pada kerentanan dengan tingkat keparahan tinggi sebelum ditambal. Google mencatat risikonya kepada publik, menyatakan bahwa penyerang yang terampil “akan dapat dengan cepat membuat eksploitasi operasional” dengan penelitian dan upaya yang terbatas.

Peneliti Project Zero Maddie Stone menulis di Twitter bahwa Samsung memiliki waktu 90 hari untuk menambal bug, tetapi belum.

Samsung mengonfirmasi dalam daftar keamanan Maret 2023 bahwa beberapa modem Exynos rentan, memengaruhi beberapa produsen perangkat Android, tetapi memberikan sedikit detail lainnya.

Menurut Project Zero, perangkat yang terpengaruh mencakup hampir selusin model Samsung, perangkat Vivo, dan handset Pixel 6 dan Pixel 7 milik Google. Perangkat yang terpengaruh juga termasuk perangkat yang dapat dikenakan dan kendaraan yang mengandalkan chip Exynos untuk terhubung ke jaringan seluler.

Google mengatakan bahwa tambalan akan bervariasi tergantung pabrikannya, tetapi mencatat bahwa perangkat Pixel-nya sudah ditambal dengan pembaruan keamanan bulan Maret.

Sampai produsen yang terkena dampak mendorong pembaruan perangkat lunak kepada pelanggan mereka, Google mengatakan pengguna yang ingin melindungi diri mereka sendiri dapat mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) di pengaturan perangkat mereka, yang akan “menghilangkan risiko eksploitasi dari kerentanan ini. ”

Google mengatakan 14 kerentanan yang tersisa tidak terlalu parah karena memerlukan akses ke perangkat atau memiliki akses orang dalam atau akses istimewa ke sistem operator seluler.

selengkapnya : techcrunch.com

Eksploitasi Kerentanan Kritis pada Produk VMware Akhir Masa Pakai Sedang Berlangsung

March 10, 2023 by Flamango

Perusahaan pendeteksi kerentanan aplikasi, Wallarm Detect, memperingatkan tentang eksploitasi berkelanjutan atas kelemahan kritis di VMware Cloud Foundation dan NSX Data Center for vSphere (NSX-V).

Diungkapkan pada Oktober 2022 dan dilacak sebagai CVE-2021-39144 (skor CVSS 9,8), saat VMware mengumumkan tambalan untuknya, meskipun produk yang terpengaruh telah mencapai status akhir masa pakai (EOL) pada Januari 2022.

Cacat keamanan diidentifikasi di library open-source XStream yang mendukung serialisasi objek ke XML dan sebaliknya, berdampak pada XStream versi 1.4.17 dan yang lebih lama.

VMware mengumumkan tambalan untuk kerentanan ini pada 25 Oktober. Dua hari kemudian, perusahaan memperbarui penasehatnya untuk memperingatkan bahwa kode proof-of-concept (PoC) yang menargetkan kerentanan telah dirilis.

Masalah ini telah diatasi bersama dengan CVE-2022-31678, cacat Entitas Eksternal XML (XXE) tingkat keparahan sedang yang dapat memungkinkan penyerang yang tidak diautentikasi menyebabkan kondisi denial-of-service (DoS).

Selengkapnya: Security Week

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Exploit

Cookies Settings