Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / Security Breach

Security Breach

Google menerapkan mitigasi Chrome terhadap serangan Slipstreaming NAT baru

by

Google telah memblokir delapan port tambahan di dalam browser web Chrome untuk mencegah variasi baru dari serangan bernama NAT Slipstreaming, para insinyur perusahaan mengumumkan hari ini.

Serangan Slipstreaming NAT asli pertama kali diungkapkan pada 31 Oktober 2020 oleh Samy Kamkar, seorang peneliti keamanan terkenal.

Serangan itu bekerja dengan memikat pengguna di situs web jahat di mana kode JavaScript akan membuat sambungan ke perangkat korban secara langsung, melewati pertahanan yang disediakan oleh firewall dan tabel terjemahan alamat jaringan (NAT).

Penyerang dapat menyalahgunakan koneksi ini ke sistem pengguna untuk meluncurkan serangan pada perangkat yang terletak di jaringan internal korban.

Versi awal serangan NAT Slipstreaming menyalahgunakan protokol Session Initiation Protocol (SIP) untuk membuat sambungan lubang jarum ini ke perangkat di jaringan internal melalui port 5060 dan 5061.

Dua minggu setelah serangan tersebut diketahui publik, Google menanggapi penemuan Kamkar dengan memblokir dua porta di Chrome 87 ini untuk mencegah penyerang menyalahgunakan teknik ini, yang oleh pembuat browser dianggap sebagai ancaman yang parah dan mudah disalahgunakan.

Apple dan Mozilla juga mengirimkan blok serupa di dalam Safari dan Firefox beberapa minggu kemudian.

selengkapnya : ZDNET

Malwarebytes diretas oleh kelompok dibalik peretasan SolarWinds

by

Perusahaan keamanan dunia maya AS Malwarebytes hari ini mengatakan telah diretas oleh kelompok yang sama yang melanggar perusahaan perangkat lunak IT SolarWinds tahun lalu. Malwarebytes mengatakan intrusi tersebut tidak terkait dengan insiden rantai pasokan SolarWinds karena perusahaan tidak menggunakan perangkat lunak SolarWinds apa pun di jaringan internalnya.

Alih-alih, firma keamanan tersebut mengatakan para peretas melanggar sistem internalnya dengan mengeksploitasi celah pada Azure Active Directory dan menyalahgunakan aplikasi Office 365 yang berbahaya.
Malwarebytes mengatakan telah mengetahui gangguan dari Pusat Respons Keamanan Microsoft (MSRC) pada 15 Desember.

Pada saat itu, Microsoft sedang mengaudit Office 365 dan infrastruktur Azure untuk mencari tanda-tanda aplikasi berbahaya yang dibuat oleh peretas SolarWinds, yang juga dikenal di lingkaran keamanan cyber sebagai UNC2452 atau Dark Halo.

Karena pelaku dicurigai dalang dibalik peretasan SolarWinds yang meracuni perangkat lunak perusahaan dengan memasukkan malware Sunburst ke dalam beberapa pembaruan untuk aplikasi SolarWinds Orion, Kleczynski mengatakan bahwa mereka juga melakukan audit yang sangat menyeluruh terhadap semua produk dan kode sumbernya, mencari apa saja tanda-tanda kompromi serupa atau serangan supply chain.

“Sistem internal kami tidak menunjukkan bukti akses tidak sah atau penyusupan di lingkungan produksi dan di lokasi mana pun.Perangkat lunak kami tetap aman untuk digunakan,”
“Setelah penyelidikan ekstensif, kami menentukan penyerang hanya memperoleh akses ke subset terbatas email internal perusahaan,” kata Marcin Kleczynski, salah satu pendiri Malwarebytes dan CEO saat ini.

Source : ZDnet

Akun Backdoor ditemukan di lebih dari 100.000 firewall Zyxel, gateway VPN

by

Lebih dari 100.000 firewall Zyxel, gateway VPN, dan pengontrol titik akses berisi akun backdoor tingkat admin yang di-hardcode yang dapat memberi penyerang akses root ke perangkat melalui antarmuka SSH atau panel administrasi web.

Akun backdoor, yang ditemukan oleh tim peneliti keamanan Belanda dari Eye Control, dianggap seburuk kerentanannya.

Pemilik perangkat disarankan untuk memperbarui sistem segera setelah waktu memungkinkan.

Ini termasuk lini produk Zyxel seperti:

  • seri Advanced Threat Protection (ATP) – digunakan terutama sebagai firewall
  • seri Unified Security Gateway (USG) – digunakan sebagai firewall hibrid dan gateway VPN
  • seri USG FLEX – digunakan sebagai firewall hibrid dan gateway VPN
  • seri VPN – digunakan sebagai gateway VPN
  • seri NXC – digunakan sebagai pengontrol titik akses WLAN

sumber : ZDNET

Peretas SolarWinds mengakses source code Microsoft, kata perusahaan itu

by

WASHINGTON (Reuters) -Kelompok peretas di balik kompromi SolarWinds mampu membobol Microsoft Corp dan mengakses beberapa source code-nya, kata Microsoft pada Kamis, sesuatu yang dikatakan para ahli mengirimkan sinyal mengkhawatirkan tentang ambisi mata-mata.

source code – sekumpulan instruksi mendasar yang menjalankan perangkat lunak atau sistem operasi – biasanya merupakan salah satu rahasia perusahaan teknologi yang paling dijaga ketat dan Microsoft secara historis sangat berhati-hati dalam melindunginya.

Tidak jelas seberapa banyak atau bagian mana dari repositori source code Microsoft yang dapat diakses peretas, tetapi pengungkapan tersebut menunjukkan bahwa peretas yang menggunakan perusahaan perangkat lunak SolarWinds sebagai batu loncatan untuk masuk ke jaringan sensitif pemerintah AS juga memiliki kepentingan untuk menemukan cara kerja internal produk Microsoft juga.

Memodifikasi source code – yang menurut Microsoft tidak dilakukan oleh peretas – dapat menimbulkan konsekuensi yang berpotensi bencana mengingat produk Microsoft ada di mana-mana, yang mencakup rangkaian produktivitas Office dan sistem operasi Windows. Tetapi para ahli mengatakan bahwa bahkan hanya dengan dapat meninjau kode dapat menawarkan wawasan peretas yang dapat membantu mereka menumbangkan produk atau layanan Microsoft.

source code adalah cetak biru arsitektural tentang bagaimana perangkat lunak itu dibuat,” kata Andrew Fife dari Cycode yang berbasis di Israel, sebuah perusahaan perlindungan source code.

“Jika Anda memiliki cetak birunya, jauh lebih mudah untuk merekayasa serangan.”

sumber : Reuters

Soalrwinds Hack menular Infrastruktur Kritis, Termasuk Industri Tenaga Listrik

by

Kampanye Peretasan yang menginfeksi banyak lembaga pemerintah dan perusahaan teknologi dengan perangkat lunak SolarWinds yang berbahaya, juga telah menginfeksi lebih dari selusin perusahaan infrastruktur penting di industri listrik, minyak, dan manufaktur yang juga menjalankan perangkat lunak tersebut, menurut sebuah perusahaan keamanan yang melakukan penyelidikan terhadap beberapa. dari pelanggaran.

Selain perusahaan infrastruktur penting, perangkat lunak SolarWinds juga menginfeksi tiga perusahaan yang menyediakan layanan untuk perusahaan tersebut, kata Rob Lee, CEO Dragos, Inc., yang berspesialisasi dalam keamanan sistem kontrol industri dan menemukan beberapa infeksi.

Lee mencatat bahwa dalam beberapa kasus OEM tidak hanya memiliki akses ke jaringan pelanggan – mereka sebenarnya secara langsung menginfeksi pelanggan mereka dengan perangkat lunak SolarWinds. Itu karena beberapa dari mereka menggunakan SolarWinds tidak hanya di jaringan mereka sendiri, tetapi juga telah menginstalnya di jaringan pelanggan untuk mengelola dan memantaunya, terkadang tanpa pelanggan menyadarinya.

Namun, saat ini tidak ada bukti bahwa peretas menggunakan backdoor dalam perangkat lunak SolarWinds untuk mendapatkan akses ke 15 entitas listrik, minyak, gas, dan manufaktur yang terinfeksi perangkat lunak tersebut. Namun Lee mencatat bahwa tidak mungkin untuk mengungkap aktivitas tersebut jika penyerang benar-benar mengaksesnya dan menggali lebih jauh ke dalam jaringan kontrol industri, karena entitas infrastruktur penting umumnya tidak melakukan logging ekstensif dan pemantauan jaringan sistem kontrol mereka.

sumber : TheIntercept

Departemen Keamanan Dalam Negeri US : China menggunakan TV TCL untuk memata-matai orang Amerika

by

Penjabat Sekretaris Departemen Keamanan Dalam Negeri Chad Wolf mengatakan agen federal sedang mencari tahu apakah pembuat televisi China TCL telah membangun “backdoors” keamanan-bypass ke dalam perangkat TV yang diberdayakan Android, seperti yang dilaporkan dalam Panduan Tom bulan lalu.

“DHS sedang meninjau entitas seperti pabrikan China TCL,” kata Wolf pada Senin (21 Desember) dalam pidatonya.

“Tahun ini ditemukan bahwa TCL memasukkan pintu belakang ke dalam semua perangkat TVnya yang mengekspos pengguna ke pelanggaran dunia maya dan eksfiltrasi data,” tambah Wolf.

“TCL juga menerima dukungan negara PKC [Partai Komunis China] untuk bersaing di pasar elektronik global, yang telah mendorongnya menjadi produsen televisi terbesar ketiga di dunia.”

Kami tidak yakin berapa banyak bantuan pemerintah yang sebenarnya didapat TCL dari pemerintah China, dan peringkat pasarnya bergantung pada statistik siapa yang Anda gunakan. Tapi kami tahu bahwa kekurangan yang kami tulis bulan lalu tidak memengaruhi set TCL yang menjalankan sistem operasi Roku, yang merupakan sebagian besar set TCL yang dijual di Amerika Utara.

TCL mengatakan kepada Tom’s Guide bulan lalu bahwa itu memperbaiki dua masalah dalam set TCL yang menjalankan Android yang telah ditemukan oleh dua peretas, John Jackson dan Sick Codes.

*Perhatikan bahwa tidak ada bukti yang diberikan untuk membuktikan informasi ini dan harus diambil dengan sedikit perhatian sebelum sepenuhnya mempercayai data ini.

sumber : Tomsguide

Peretas Rusia yang dicurigai menggunakan vendor Microsoft untuk membobol pelanggan

by

WASHINGTON (Reuters) – Tersangka peretas Rusia di balik serangan dunia maya AS yang terburuk dalam beberapa tahun memanfaatkan akses pengecer ke layanan Microsoft Corp untuk menembus target yang tidak memiliki perangkat lunak jaringan yang dikompromikan dari SolarWinds Corp, kata penyelidik.

Sementara pembaruan pada perangkat lunak Orion SolarWinds sebelumnya adalah satu-satunya titik masuk yang diketahui, perusahaan keamanan CrowdStrike Holdings Inc mengatakan hari Kamis peretas telah memenangkan akses ke vendor yang menjual lisensi Office dan menggunakannya untuk mencoba membaca email CrowdStrike. Itu tidak secara khusus mengidentifikasi peretas sebagai orang-orang yang menyusupi SolarWinds, tetapi dua orang yang mengetahui penyelidikan CrowdStrike mengatakan mereka.

CrowdStrike menggunakan program Office untuk pengolah kata tetapi tidak untuk email. Upaya yang gagal, yang dilakukan beberapa bulan lalu, ditunjukkan ke CrowdStrike oleh Microsoft pada 15 Desember.

CrowdStrike, yang tidak menggunakan SolarWinds, mengatakan tidak menemukan dampak dari upaya intrusi dan menolak menyebutkan nama resellernya.

Banyak lisensi perangkat lunak Microsoft dijual melalui pihak ketiga, dan perusahaan tersebut dapat memiliki akses yang hampir konstan ke sistem klien saat pelanggan menambahkan produk atau karyawan. Microsoft mengatakan pada hari Kamis bahwa pelanggan tersebut perlu waspada.

Penggunaan pengecer Microsoft untuk mencoba masuk ke perusahaan pertahanan digital teratas menimbulkan pertanyaan baru tentang berapa banyak jalan yang dimiliki para peretas, yang diduga pejabat AS beroperasi atas nama pemerintah Rusia, yang mereka miliki.

sumber : Reuters

Livecoin pertukaran crypto Rusia diretas setelah kehilangan kendali atas servernya

by

Pertukaran cryptocurrency Rusia Livecoin memposting pesan di situs resminya pada Malam Natal mengklaim itu diretas dan kehilangan kendali atas beberapa servernya, memperingatkan pelanggan untuk berhenti menggunakan layanannya. Menurut postingan di media sosial, serangan itu tampaknya terjadi pada malam antara 23 Desember dan 24 Desember.

Peretas tampaknya telah menguasai infrastruktur Livecoin dan kemudian mulai mengubah nilai tukar menjadi nilai raksasa dan tidak realistis.

Sebelum admin Livecoin berhasil mendapatkan kembali akses ke beberapa sistem mereka selama akhir 24 Desember, nilai tukar Bitcoin telah menggelembung dari $ 23.000 / BTC biasa menjadi lebih dari $ 450.000 / BTC, Ether tumbuh dari $ 600 / ETH menjadi $ 15.000, dan harga Ripple meningkat dari $ 0,27 / XRP menjadi lebih dari $ 17 / XRP.

Setelah nilai tukar diubah, para penyerang misterius mulai menguangkan akun, menghasilkan keuntungan besar.

sumber : ZDNET