Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Internet

Internet

Grafana memperbaiki kerentanan zero-day setelah eksploitasi tersebar di Twitter

by

Solusi analitik sumber terbuka dan visualisasi interaktif Grafana menerima pembaruan darurat hari ini untuk memperbaiki kerentanan zero-day yang memungkinkan akses jarak jauh ke file lokal.

Masalah ini mulai dipublikasikan awal minggu ini, sebelum Grafana Labs meluncurkan pembaruan untuk versi 8.0.0-beta1 yang terpengaruh hingga 8.3.0.

Sebelumnya, Grafana 8.3.1, 8.2.7, 8.1.8, dan 8.0.7 dirilis untuk memperbaiki kerentanan jalur traversal yang dapat memungkinkan penyerang untuk menavigasi di luar folder Grafana dan mengakses lokasi terbatas di server dari jarak jauh, seperti /etc/sandi/.

Grafana Labs menjelaskan bahwa masalahnya ada pada URL untuk plug-in yang diinstal, yang rentan terhadap serangan path traversal.

Karena semua instalasi Grafana memiliki satu set plugin yang diinstal secara default, jalur URL yang rentan ada di setiap instance aplikasi.

Namun laporan kedua menunjukkan bahwa informasi tentang masalah ini mulai menyebar, konfirmasi datang ketika berita tentang bug muncul di ruang publik.

Tidak butuh waktu lama untuk detail teknis bersama dengan proof-of-concepts (PoC) untuk mengeksploitasi bug agar tersedia di Twitter dan GitHub.

Sumber : Martin HSU

Karena bug yang dilaporkan secara pribadi telah menjadi zero-day yang bocor, Grafana Labs terpaksa menerbitkan perbaikannya:

  • 2021-12-06: Laporan kedua tentang kerentanan diterima
  • 2021-12-07: Kami menerima informasi bahwa kerentanan telah bocor ke publik, mengubahnya menjadi 0day
  • 2021-12-07: Keputusan dibuat untuk rilis secepat mungkin
  • 2021-12-07: Rilis pribadi dengan masa tenggang 2 jam yang dikurangi, bukan jangka waktu 1 minggu yang biasa
  • 2021-12-07: Rilis publik

Dilacak sebagai CVE-2021-43798, cacat tersebut menerima skor keparahan 7,5 dan masih dapat dieksploitasi di server lokal yang belum diperbarui.

Instance Grafana Cloud belum terpengaruh, kata pengembang hari ini.

Menurut laporan publik, ada ribuan server Grafana yang terekspos di internet publik. Jika memperbarui instance yang rentan tidak mungkin dilakukan secara tepat waktu, disarankan untuk membuat server tidak dapat diakses dari web publik.

Sumber : Bleeping Computer

TrickBot bekerja sama dengan Phisher Shatak untuk serangan Ransomware Conti

by

Seorang aktor ancaman yang dilacak sebagai Shatak (TA551) baru-baru ini bermitra dengan geng ITG23 (alias TrickBot dan Wizard Spider) untuk menyebarkan Conti ransomware pada sistem yang ditargetkan. Operasi Shatak membuat kampanye phishing yang mengunduh dan menginfeksi korban dengan malware.

IBM X-Force menemukan bahwa Shatak dan TrickBot mulai bekerja sama pada Juli 2021 hingga hari ini. Serangan dimulai dengan email phishing yang dikirim oleh Shatak, kemudian mereka membawa arsip yang dilindungi kata sandi yang berisi dokumen berbahaya.

Menurut IBM X-Force, Shatak menggunakan email berantai balasan yang dicuri dari korban sebelumnya dan menambahkan lampiran arsip yang dilindungi kata sandi.

Lampiran ini berisi skrip kode yang disandikan base-64 untuk mengunduh dan menginstal malware TrickBot atau BazarBackdoor dari situs jarak jauh. Kemudian ITG23 mengambil alih dengan menerapkan suar Cobalt Strike pada sistem yang disusupi, menambahkannya ke tugas terjadwal untuk ketekunan.

Aktor Conti menggunakan BazarBackdoor untuk pengintaian jaringan, menghitung pengguna, admin domain, komputer bersama, dan sumber daya bersama. Mereka mencuri kredensial pengguna, hash kata sandi, dan data Active Directory, dan menyalahgunakan apa yang mereka bisa untuk menyebar secara lateral melalui jaringan.

Fitur pemantauan real-time Windows Defender juga dinonaktifkan untuk mencegah peringatan atau intervensi selama proses enkripsi. setelah itu mereka melakukan eksfiltrasi data, yang merupakan tahap terakhir sebelum enkripsi file, dengan menggunakan alat ‘Rclone’ untuk mengirim semuanya ke titik akhir jarak jauh di bawah kendali mereka. Conti menonaktifkan perlindungan real-time Defender.

Conti menonaktifkan perlindungan real-time Defender.
Sumber: Cybereason

Setelah mengumpulkan semua data berharga dari jaringan, pelaku ancaman menyebarkan ransomware untuk mengenkripsi perangkat.

Dalam laporan Computer Emergency Response Team (CERT) Prancis, TA551 muncul sebagai kolaborator ‘Lockean’, grup ransomware yang baru ditemukan dengan banyak afiliasi.

Shatak mengirim email phishing untuk mendistribusikan trojan perbankan Qbot/QakBot, yang digunakan untuk menyebarkan infeksi ransomware ProLock, Egregor, dan DoppelPaymer.

TA551 mungkin memiliki lebih banyak kolaborasi dengan geng ransomware lain selain yang ditemukan oleh para analis. Pelaku ancaman ini juga diidentifikasi dengan nama yang berbeda, seperti Shathak, UNC2420, dan Gold Cabin.

Pertahanan terbaik terhadap jenis serangan ini adalah dengan melatih karyawan tentang risiko email phishing. Admin juga harus menerapkan penggunaan otentikasi multi-faktor pada akun, menonaktifkan layanan RDP yang tidak digunakan, memantau log peristiwa yang relevan untuk perubahan konfigurasi yang tidak biasa, serta mencadangkan data penting secara teratur kemudian membuat cadangan tersebut offline sehingga tidak dapat ditargetkan oleh pelaku ancaman.

Selengkapnya : Bleeping Computer

NUCLEUS:13 kerentanan berdampak pada peralatan medis & industri Siemens

by

Peneliti keamanan hari ini mengungkapkan satu set 13 kerentanan yang berdampak pada perpustakaan perangkat lunak penting Siemens yang disertakan dengan perangkat medis, otomotif, dan sistem industri.

Dinamakan NUCLEAUS:13, kerentanan berdampak pada Nucleus NET, tumpukan TCP/IP yang disertakan dengan Nucleus, sistem operasi real-time yang dimiliki oleh Siemens, yang biasanya berjalan pada papan system-on-a-chip (SoC) yang disertakan di dalam perangkat medis, mobil, smartphone, perangkat Internet of Things, PLC industri, dan banyak lagi.

Laporan Forescout dan Medigate Labs mengatakan kerentanan NUCLEUS:13 dapat digunakan untuk mengambil alih, mogok, atau membocorkan informasi dari perangkat yang menjalankan versi Nucleus RTOS yang lebih lama.

Kerentanan yang sangat mudah untuk dijadikan senjata adalah CVE-2021-31886, masalah eksekusi kode jarak jauh (RCE) yang menerima peringkat 9,8 dari 10 yang langka, terutama karena tingkat keparahannya.

ICS-CERT telah menerbitkan nasihat keamanan hari ini untuk meningkatkan kesadaran akan kerentanan NUCLEUS:13 di antara organisasi AS, sementara Siemens telah merilis pembaruan keamanan melalui portal CERT pribadinya, kepada semua pelanggannya.

Peneliti prakiraan Stanislav Dashevskyi juga menerbitkan demo bukti konsep yang menunjukkan bagaimana kerentanan NUCLEUS:13 dapat disalahgunakan dalam praktiknya untuk mengambil alih perangkat yang rentan. Seperti yang ditunjukkan Dashevskyi dalam video, penyerang hanya perlu memiliki semacam koneksi jaringan ke perangkat yang rentan, karena serangan hanya membutuhkan beberapa detik untuk dieksekusi.

Kerentanan NUCLEUS:13 adalah bagian kelima dan terakhir dari proyek penelitian bernama Project Memoria, di mana peneliti Forescout menganalisis tumpukan TCP/IP populer untuk kelemahan keamanan.

Secara total, Project Memoria menemukan 97 kerentanan yang memengaruhi 14 tumpukan TCP/IP. Daftar tersebut meliputi:

  • AMNESIA:33
  • NUMBER:JACK
  • NAME:WRECK
  • INFRA:HALT
  • NUCLEUS:13

Selengkapnya : The Record

Facebook menghapus 1 Milyar sidik jari di Face Recognition Shutdown

by

Facebook hari ini mengumumkan bahwa mereka tidak akan lagi menggunakan sistem Pengenalan Wajah di platform mereka dan akan menghapus lebih dari 1 miliar profil pengenalan wajah orang.

Seminggu setelah mereka rebranding sebagai Meta, Facebook telah mengumumkan bahwa mereka menghilangkan fitur Pengenalan Wajah dan menghapus semua template profil yang dibuat oleh sistem.

Tetapi banyak contoh spesifik di mana pengenalan wajah dapat membantu, perlu dipertimbangkan terhadap kekhawatiran yang berkembang tentang penggunaan teknologi ini secara keseluruhan,” kata Jerome Pesenti, Wakil Presiden Kecerdasan Buatan dalam sebuah pengumuman yang diterbitkan hari ini.

“Ada banyak kekhawatiran tentang tempat teknologi pengenalan wajah di masyarakat, dan regulator masih dalam proses memberikan seperangkat aturan yang jelas yang mengatur penggunaannya.”

“Di tengah ketidakpastian yang sedang berlangsung ini, kami percaya bahwa membatasi penggunaan pengenalan wajah pada serangkaian kasus penggunaan yang sempit adalah tepat.”

Beberapa kekhawatiran ini penting bagi Facebook, yang baru-baru ini membuat penyelesaian $650 juta dalam gugatan dengan Illinois yang mengklaim Facebook mengumpulkan dan menyimpan data biometrik pengguna Facebook tanpa persetujuan.

Sementara perubahan ini akan dilihat sebagai kemenangan bagi pendukung privasi, itu akan datang dengan beberapa pengorbanan, karena lebih dari sepertiga pengguna harian Facebook telah memilih dan menggunakan fitur Pengenalan Wajah.

Beberapa fitur Facebook yang tidak lagi berfungsi seperti yang diharapkan antara lain:

  • Tidak lagi secara otomatis mengenali jika wajah orang muncul di Memori, foto, atau video.
    Orang tidak dapat lagi mengaktifkan pengenalan wajah untuk pemberian tag yang disarankan atau melihat tag yang disarankan dengan nama mereka di foto dan video tempat mereka muncul. namun hal tersebut masih dapat dilakukan secara manual.
  • Perubahan ini juga akan berdampak pada Teks Alt Otomatis (AAT), sebuah teknologi yang digunakan untuk membuat deskripsi gambar bagi penyandang tunanetra atau tunanetra. AAT saat ini mengidentifikasi orang di sekitar 4% foto. Setelah perubahan, AAT masih dapat mengenali berapa banyak orang yang ada di dalam foto, tetapi tidak akan lagi berusaha mengidentifikasi siapa saja yang menggunakan pengenalan wajah. Jika tidak, AAT akan terus berfungsi secara normal, dan facebook akan bekerja sama dengan komunitas tunanetra dan tunanetra terkait teknologi untuk terus meningkatkan AAT. Anda dapat mempelajari lebih lanjut tentang apa arti perubahan ini bagi orang-orang yang menggunakan AAT di halaman Aksesibilitas Facebook.
  • Jika Anda telah memilih pengaturan Pengenalan Wajah, facebook akan menghapus template yang digunakan untuk mengidentifikasi Anda. Jika Anda menonaktifkan pengaturan pengenalan wajah, tidak ada template yang harus dihapus dan tidak akan ada perubahan.

Facebook mengatakan mereka akan mematikan sistem Pengenalan Wajah mereka dan menghapus template pengguna dalam beberapa minggu mendatang.

Selengkapnya: Bleeping Computer

Facebook, Instagram, dan WhatsApp kembali online setelah adanya pemadaman global

by

Facebook, Instagram, dan WhatsApp mulai kembali online setelah masalah perutean BGP menyebabkan pemadaman di seluruh dunia selama lebih dari lima jam.

Pada tanggal 4 Oktober, sekitar pukul 11:50 EST, ketiga situs web tiba-tiba tidak dapat dijangkau, dengan browser menampilkan kesalahan DNS saat mencoba membukanya.

Sementara pada awalnya, masalah tampaknya terkait DNS, kemudian diketahui bahwa masalahnya jauh lebih buruk dari itu.

Seperti yang dijelaskan oleh Giorgio Bonfiglio, TAM Utama di Amazon AWS, berbagai prefixes perutean Facebook tiba-tiba menghilang dari tabel perutean BGP Internet, secara efektif membuatnya tidak mungkin untuk terhubung ke layanan apa pun yang dihosting di alamat IP mereka.

BGP atau Border Gateway Protocol membuat Internet modern berfungsi dan bagaimana komputer di satu sisi dunia dapat terhubung ke perangkat di sisi lain.

Agar lebih mudah dipahami, protokol perutean BGP mirip dengan “sistem pos” Internet, yang memfasilitasi lalu lintas dari satu sistem jaringan (otonom) ke sistem jaringan lainnya.

Ketika sebuah jaringan ingin terlihat di Internet, mereka perlu mengiklankan rute mereka, atau prefix, dengan seluruh dunia.

Jika prefix tersebut dihapus, tidak ada orang lain di Internet yang tahu cara menyambung ke server mereka.

Saat Facebook mengonfigurasi organisasi mereka untuk menggunakan domain registrar dan server DNS yang dihosting di prefix perutean mereka sendiri, saat prefix tersebut dihapus, tidak ada yang dapat terhubung ke alamat IP tersebut dan layanan yang berjalan di atasnya.

Mulai pukul 17:00 EST, prefix perutean Facebook mulai terlihat di tabel perutean BGP di jaringan lain. Dengan prefix ini sekarang sedang diiklankan di Internet, pengguna dapat terhubung ke Facebook, Instagram, dan WhatsApp kembali.

Tidak jelas apa yang menyebabkan pemadaman terjadi, tetapi kemungkinan karena kesalahan konfigurasi, seperti banyak pemadaman terkait BGP lainnya di masa lalu.

Sumber: Bleeping Computer

Fortinet, Shopify, dan lainnya Melaporkan Masalah Setelah Sertifikat CA Root dari Let’s Encrypt Kedaluwarsa

by

Sekitar pukul 10.00 ET, IdentTrust DST Root CA X3 kedaluwarsa, menurut Scott Helme, pendiri Security Headers. Dia telah melacak masalah ini dan menjelaskan jutaan situs web mengandalkan layanan Let’s Encrypt. Tanpa mereka, beberapa perangkat lama tidak lagi dapat memverifikasi sertifikat tertentu.

Let’s Encrypt beroperasi sebagai organisasi nirlaba gratis yang memastikan koneksi antara perangkat Anda dan internet aman dan terenkripsi.

“Ada beberapa cara untuk menyelesaikan ini tergantung pada apa masalahnya sebenarnya, tetapi intinya adalah: Layanan/situs web perlu memperbarui rantai sertifikat yang mereka layani kepada klien atau, klien yang berbicara dengan situs web/layanan perlu pembaruan,” jelas Helme.

Shopify memposting catatan di halaman insidennya bahwa sekitar pukul 15:30, pedagang dan mitra perusahaan yang berjuang untuk masuk telah memulihkan layanan mereka. Otentikasi pedagang untuk interaksi Dukungan juga telah dipulihkan, kata perusahaan itu.

Fortinet memberi tahu ZDNet bahwa mereka mengetahui dan telah menyelidiki masalah yang berkaitan dengan sertifikat CA root yang kedaluwarsa yang disediakan oleh Lets Encrypt.

“Kami berkomunikasi langsung dengan pelanggan dan telah memberikan solusi sementara. Selain itu, kami sedang mengerjakan solusi jangka panjang untuk mengatasi masalah kasus tepi ini secara langsung di dalam produk kami,” kata perusahaan itu dalam sebuah pernyataan.

Selengkapnya: ZDNet

Putusan pembajakan senilai $1 miliar dapat memaksa ISP untuk memutuskan lebih banyak pengguna Internet

by

Putusan miliaran dolar dalam gugatan pembajakan yang melibatkan penyedia layanan Internet utama dapat memaksa ISP untuk menghentikan lebih banyak akun pelanggan dan “menghukum yang tidak bersalah dan bersalah,” kelompok advokasi telah memperingatkan. Mendesak pengadilan banding untuk membatalkan putusan, kelompok menulis bahwa “menegakkan putusan ini akan mengakibatkan pengguna yang tidak bersalah dan rentan kehilangan akses Internet penting”.

Kekhawatiran ini diangkat dalam pengajuan pengadilan minggu lalu oleh Electronic Frontier Foundation (EFF), Pusat Demokrasi dan Teknologi, Asosiasi Perpustakaan Amerika, Asosiasi Perpustakaan Perguruan Tinggi Dan Penelitian, Asosiasi Perpustakaan Penelitian, dan Pengetahuan Publik. Pengajuan kelompok dibuat ke Pengadilan Banding AS untuk Sirkuit ke-4 untuk mendukung banding yang berusaha membatalkan putusan dalam kasus yang diluncurkan oleh label rekaman terhadap Cox Communications.

Juri memutuskan pada Desember 2019 bahwa Cox harus membayar ganti rugi $1 miliar kepada label rekaman besar. Sony, Universal, dan Warner telah menggugat ISP kabel pada tahun 2018 di Pengadilan Distrik AS untuk Distrik Timur Virginia. Seorang hakim distrik menguatkan putusan pada Januari 2021, menyetujui penghakiman $ 1 miliar dan membuka jalan bagi Cox untuk mengajukan banding ke Sirkuit ke-4.

Putusan itu juga dapat menyebabkan ISP “tidak terlalu cenderung membiarkan hotspot Wi-Fi publik terbuka di lingkungan yang kurang terlayani, karena hal itu berisiko menghancurkan tanggung jawab,” tulis kelompok tersebut.

Selengkapnya: Ars Technica

Nama jaringan tertentu dapat sepenuhnya menonaktifkan Wifi di iPhone Anda

by

Inilah bug yang lucu: seorang peneliti keamanan telah menemukan bahwa nama jaringan yang dibuat dengan hati-hati menyebabkan bug di tumpukan jaringan iOS dan dapat sepenuhnya menonaktifkan kemampuan iPhone Anda untuk terhubung ke Wi-Fi.

Di Twitter, Carl Schou menunjukkan bahwa setelah bergabung dengan jaringan Wi-Fi dengan nama tertentu (“%p%s%s%s%s%n”), semua fungsi Wi-Fi di iPhone dinonaktifkan sejak saat itu.

Setelah iPhone atau iPad bergabung dengan jaringan dengan nama “%p%s%s%s%s%n”, perangkat gagal tersambung ke jaringan Wi-Fi atau menggunakan fitur jaringan sistem seperti AirDrop. Masalah tetap ada setelah me-reboot perangkat (walaupun ada solusi, lihat di bawah).

Meskipun Schuo tidak merinci dengan tepat bagaimana dia mengetahui hal ini, programmer mana pun harus memperhatikan pola dalam nama jaringan yang funky yang diperlukan untuk memicu bug.

Berikut penjelasan yang mungkin: sintaks ‘%[karakter]’ biasanya digunakan dalam bahasa pemrograman untuk memformat variabel menjadi string keluaran. Dalam C, penentu ‘%n’ berarti menyimpan jumlah karakter yang ditulis ke dalam string format ke variabel yang diteruskan ke fungsi format string. Subsistem Wi-Fi mungkin meneruskan nama jaringan Wi-Fi (SSID) yang tidak dibersihkan ke beberapa perpustakaan internal yang melakukan pemformatan string, yang pada gilirannya menyebabkan penulisan memori dan buffer overflow yang berubah-ubah. Ini akan menyebabkan kerusakan memori dan pengawas iOS akan mematikan prosesnya, sehingga secara efektif menonaktifkan Wi-Fi bagi pengguna.

Jelas, ini adalah rangkaian peristiwa yang tidak jelas sehingga sangat tidak mungkin ada orang yang secara tidak sengaja jatuh ke dalamnya, kecuali jika banyak orang iseng Wi-Fi tiba-tiba muncul di alam liar dengan jaringan Wi-Fi terbuka menggunakan nama beracun. Sampai Apple memperbaiki kasus tepi ini dalam pembaruan OS di masa mendatang, awasi saja jaringan Wi-Fi apa pun dengan simbol persen di namanya.

Namun demikian, Jika Anda entah bagaimana terpengaruh oleh ini, bug tampaknya tidak merusak perangkat keras Anda secara permanen.

Anda harus dapat mengatur ulang semua pengaturan jaringan dan memulai dari awal. Di Pengaturan, buka Umum -> Atur Ulang -> Atur Ulang Pengaturan Jaringan. Ini mengatur ulang semua jaringan Wi-Fi yang disimpan di iPhone (serta hal-hal lain seperti pengaturan seluler dan akses VPN), sehingga menghapus pengetahuan tentang nama jaringan berbahaya dari memorinya. Anda kemudian dapat bergabung dengan Wi-Fi rumah standar Anda sekali lagi.

selengkapnya : 9to5mac.com