Linux

Royal Ransomware Memperluas Serangan dengan Menargetkan Server ESXi Linux

February 22, 2023 by Flamango

Royal Ransomware mengikuti jalur yang sama, varian baru yang menargetkan sistem Linux muncul, Trend Micro memberikan analisis teknis varian tersebut.

Pelaku ransomware telah diamati memperluas target mereka dengan semakin mengembangkan versi berbasis Linux. Ini diperkirakan setelah terdeteksinya peningkatan serangan dua digit year-on-year (YoY) pada sistem di paruh pertama tahun 2022.

Mitra Linux Royal juga menargetkan server ESXi, perluasan target yang dapat berdampak besar pada pusat data perusahaan yang menjadi korban dan penyimpanan virtual.

Menurut data dari situs kebocoran kelompok ransomware, 10,7% dikaitkan dengan Royal, dengan hanya LockBit dan BlackCat di depannya, masing-masing menyumbang 22,3% dan 11,7%. Aktor ancamannya yang merupakan cabang dari Conti mungkin menjadi alasan klaim ketenarannya yang cepat segera setelah menjadi berita utama di lanskap ransomware.

Serangan ransomware ini menggabungkan teknik lama dan baru, yang mendukung teori bahwa pelaku di baliknya memiliki pengetahuan luas tentang adegan ransomware.

Ransomware Royal menargetkan bisnis kecil hingga menengah pada kuartal keempat tahun 2022: 51,9% korbannya adalah bisnis kecil, sementara 26,8% berukuran sedang. Hanya 11,3% dari korbannya untuk periode ini adalah perusahaan besar.

Berdasarkan hasil analisis teknis oleh Trend Micro, varian baru dari ransomware Royal memperluas serangan mereka untuk menargetkan server ESXi, menyebabkan kerusakan besar pada korbannya.

Melindungi sistem dari serangan ransomware, Trend Micro menyarankan pengguna menerapkan perlindungan data, pencadangan, dan tindakan pemulihan untuk mengamankan data dari kemungkinan enkripsi atau penghapusan, dan praktik terbaik lainnya.

Selengkapnya: Trend Micro

Indeks Paket Python Ditemukan Berisi Kunci AWS dan Malware

January 16, 2023 by Søren

Indeks Paket Python, atau PyPI, terus mengejutkan dan bukan dengan cara yang baik.

Idealnya sebagai sumber pustaka Python yang dapat disertakan oleh pengembang dalam proyek mereka untuk menghemat waktu, PyPI kembali tertangkap paket hosting dengan kunci Amazon Web Services (AWS) langsung dan malware pencuri data.

Sayangnya, paket berbahaya bukanlah hal baru untuk PyPI atau untuk sistem pengemasan seperti npm, RubyGems, crates.io, dan sejenisnya.

Serangan rantai pasokan – melalui kompromi pustaka perangkat lunak atau kesalahan ketik – telah menjadi masalah selama bertahun-tahun, meskipun baru-baru ini mendapat lebih banyak perhatian dengan insiden seperti kompromi SolarWinds.

Meskipun kewaspadaan ditingkatkan, insiden ini masih terjadi dengan frekuensi yang mengkhawatirkan.

Tepat sebelum Tahun Baru, pengelola kerangka kerja pembelajaran mesin PyTorch memperingatkan bahwa PyTorch-nightly, jika diinstal di Linux melalui pip, menyertakan ketergantungan yang disusupi yang tersedia melalui PyPI yang disebut torchtriton.

Selengkapnya: Linux Security

Apa Itu Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?

January 3, 2023 by Flamango

Linux dikenal sebagai sistem operasi yang sangat aman. Namun, Linux juga bisa menjadi mangsa celah dan eksploitasi, yang terburuk adalah kerentanan eskalasi hak istimewa yang memungkinkan musuh meningkatkan izin mereka dan berpotensi mengambil alih seluruh organisasi.

Polkit CVE-2021-4034 adalah kerentanan eskalasi hak istimewa kritis yang tidak diketahui selama lebih dari 12 tahun dan mempengaruhi semua distribusi Linux utama.

Kerentanan Eskalasi Privilege CVE-2021-4034 Polkit?
Kerentanan eskalasi hak istimewa Polkit mempersenjatai pkexec, bagian yang dapat dieksekusi dari komponen PolicyKit Linux. pkexec adalah executable yang memungkinkan pengguna mengeksekusi perintah sebagai pengguna lain. Kode sumber pkexec memiliki celah yang dapat dieksploitasi oleh siapa saja untuk mendapatkan hak istimewa maksimum pada sistem Linux, yaitu menjadi pengguna root. Bug ini disebut “Pwnkit” dan dilacak sebagai CVE-2021-4034.

Bagaimana CVE-2021-4034 Kerentanan Eskalasi Hak Istimewa Polkit Dieksploitasi?
Polkit adalah paket yang dikirimkan dengan semua distribusi Linux utama dan distribusi server seperti RHEL dan CentOS.

Komponen Polkit memiliki bagian yang dapat dieksekusi, pkexec, menangani bagaimana pengguna dapat menjalankan perintah sebagai pengguna lain. Akar kerentanan terletak pada kode sumber yang dapat dieksekusi.

Eksploitasi Pwnkit menyalahgunakan cara sistem *NIX memproses argumen dan menggunakan mekanisme baca dan tulis di luar batas untuk menyuntikkan variabel lingkungan yang tidak aman untuk mendapatkan hak akses root.

Siapa yang Terdampak Kerentanan CVE-2021-4034?
Kerentanan ini mudah dieksploitasi dan tersebar luas sebagai komponen yang terpengaruh, Penyerang secara agresif mencoba dan mendapatkan pengaruh dengan mengeksploitasi kerentanan ini di lingkungan cloud, ruang operasi bisnis utama. Korban dari kerentanan ini tidak terbatas pada, Ubuntu, Fedora, CentOS, dan Red Hat 8.

Bagaimana Cara Memperbaiki Kerentanan Eskalasi Hak Istimewa Polkit CVE-2021-4034 dan Apakah Anda Aman?
Tidak perlu khawatir mengenai kerentanan Polkit jika menjalankan versi terbaru dari distribusi Linux. Sebagai pemeriksaan keamanan, terdapat beberapa perintah untuk memeriksa versi paket PolicyKit yang terinstal di sistem.

Amankan Server dan Sistem Linux Anda Dari Eksploitasi yang Menghancurkan
Statistik server Linux menunjukkan bahwa Linux adalah sistem operasi yang memberdayakan lebih dari satu juta server web.

Individu dan pengelola server disarankan untuk memperbarui, meningkatkan sistem, dan memutakhirkan paket polkit satu per satu untuk meningkatkan keamanan server.

Selengkapnya: MakeUsOf

Peringatan Keamanan WordPress: Malware Linux Baru Mengeksploitasi Lebih dari Dua Lusin Kelemahan CMS

January 3, 2023 by Flamango

Situs WordPress menjadi sasaran malware Linux yang sebelumnya tidak dikenal yang mengeksploitasi kelemahan di lebih dari dua lusin plugin dan tema untuk mengkompromikan sistem yang rentan.

Menurut vendor keamanan Rusia, Doctor Web, penggunaan situs versi lama dari add-on tanpa perbaikan penting, dapat menjadi target yang akan disuntikkan JavaScript berbahaya. Pengguna yang mengklik area mana pun dari halaman yang diserang, dialihkan ke situs lain.

Serangan melibatkan mempersenjatai daftar kerentanan keamanan yang diketahui di 19 plugin dan tema berbeda, kemungkinan dipasang di situs WordPress, digunakan untuk menyebarkan implan yang dapat menargetkan situs web tertentu untuk memperluas jaringan lebih lanjut.

Doctor Web telah mengidentifikasi versi kedua dari backdoor, yang menggunakan domain command-and-control (C2) baru serta daftar kelemahan yang diperbarui yang mencakup 11 plugin tambahan, sehingga totalnya menjadi 30.

Bulan lalu, Sucuri mencatat bahwa lebih dari 15.000 situs WordPress telah dilanggar sebagai bagian dari kampanye berbahaya untuk mengarahkan pengunjung ke portal Q&A palsu, dengan jumlah infeksi aktif saat ini mencapai 9.314.

Pengguna WordPress disarankan untuk selalu memperbarui semua komponen platform, termasuk add-on dan tema pihak ketiga, dan menggunakan login dan kata sandi yang kuat dan unik untuk mengamankan akun mereka.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Linux

Cookies Settings