Software / Application

Kebocoran Informasi di API Kebijakan Berbasis Sumber Daya AWS

November 19, 2020 by Winnie the Pooh

Peneliti Unit 42 menemukan kelas API Amazon Web Services (AWS) yang dapat disalahgunakan untuk membocorkan pengguna dan peran AWS Identity and Access Management (IAM) di akun arbitrer. Peneliti mengonfirmasi bahwa 22 API di 16 layanan AWS yang berbeda dapat disalahgunakan dengan cara yang sama dan eksploitasi tersebut berfungsi di ketiga partisi AWS (aws, aws-us-gov atau aws-cn). Layanan AWS yang berpotensi disalahgunakan oleh penyerang mencakup Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS), dan Amazon Simple Queue Service (SQS). Aktor jahat dapat memperoleh daftar akun, mempelajari struktur internal organisasi, dan meluncurkan serangan yang ditargetkan terhadap individu. Dalam latihan Tim Merah baru-baru ini, peneliti Unit 42 membobol akun cloud pelanggan dengan ribuan beban kerja menggunakan peran IAM yang salah dikonfigurasi yang diidentifikasi oleh teknik ini.

Akar penyebab masalah ini adalah bahwa backend AWS secara proaktif memvalidasi semua kebijakan berbasis sumber daya yang dilampirkan ke sumber daya seperti keranjang Amazon Simple Storage Service (S3) dan kunci yang dikelola pelanggan. Kebijakan berbasis sumber daya biasanya mencakup bidang Prinsipal yang menentukan identitas (pengguna atau peran) yang diizinkan untuk mengakses sumber daya. Jika kebijakan berisi identitas yang tidak ada, panggilan API yang membuat atau memperbarui kebijakan akan gagal dengan pesan kesalahan. Namun, fitur praktis ini dapat disalahgunakan untuk memeriksa apakah ada identitas di akun AWS. Musuh dapat berulang kali memanggil API ini dengan prinsipal yang berbeda untuk menghitung pengguna dan peran dalam akun yang ditargetkan. Selain itu, akun yang ditargetkan tidak dapat mengamati pencacahan karena log API dan pesan kesalahan hanya muncul di akun penyerang tempat kebijakan sumber daya dimanipulasi. Sifat teknik yang “tersembunyi” membuat deteksi dan pencegahan menjadi sulit. Penyerang dapat memiliki waktu tidak terbatas untuk melakukan pengintaian pada akun AWS yang ditargetkan atau acak tanpa khawatir akan diketahui.

Mendeteksi dan mencegah pengintaian identitas menggunakan teknik ini sulit dilakukan karena tidak ada log yang dapat diamati di akun yang ditargetkan. Namun, kebersihan keamanan IAM yang baik masih dapat secara efektif mengurangi ancaman dari jenis serangan ini. Meskipun tidak mungkin mencegah penyerang menyebutkan identitas di akun AWS, pencacahan dapat menjadi lebih sulit dan Anda dapat memantau aktivitas mencurigakan yang dilakukan setelah pengintaian. Untuk mengurangi masalah ini, kami merekomendasikan praktik terbaik keamanan IAM berikut untuk organisasi:

-Hapus pengguna dan peran yang tidak aktif untuk mengurangi permukaan serangan.
-Tambahkan string acak ke nama pengguna dan nama peran agar lebih sulit ditebak.
-Masuk dengan penyedia identitas dan federasi, sehingga tidak ada pengguna tambahan yang dibuat di akun AWS.
-Catat dan pantau semua aktivitas otentikasi identitas.
-Aktifkan otentikasi dua faktor (2FA) untuk setiap pengguna dan peran IAM.

sumber : UNIT42.PaloAlto

Bug Cisco Webex memungkinkan penyerang untuk bergabung dalam rapat sebagai pengguna hantu

November 19, 2020 by Winnie the Pooh

Cisco berencana untuk memperbaiki tiga kerentanan di aplikasi konferensi video Webex yang memungkinkan penyerang menyelinap dan bergabung dengan rapat Webex sebagai pengguna bayangan, yang tidak terlihat oleh peserta lain.

Kerentanan tersebut ditemukan awal tahun ini oleh peneliti keamanan dari IBM, yang melakukan peninjauan terhadap alat kerja jarak jauh yang digunakan raksasa perangkat lunak teknologi tersebut secara internal selama pandemi virus corona.

Para peneliti mengatakan tiga bug, jika digabungkan, akan memungkinkan penyerang untuk:
1. Bergabunglah dengan rapat Webex sebagai pengguna bayangan, tidak terlihat oleh orang lain di daftar peserta, tetapi dengan akses penuh ke audio, video, obrolan, dan berbagi layar.
2. Tetap berada dalam rapat Webex sebagai pengguna audio hantu bahkan setelah dikeluarkan darinya.
3. Dapatkan informasi tentang peserta rapat, seperti nama lengkap, alamat email, dan alamat IP. Informasi ini juga dapat diperoleh dari lobi ruang rapat, bahkan sebelum penyerang menerima panggilan.

Peneliti IBM mengatakan bug berada dalam proses “jabat tangan” yang terjadi saat pertemuan Webex baru dibuat. Cisco akan merilis patch hari ini untuk tiga kerentanan Webex yang dilaporkan oleh tim IBM – yaitu CVE-2020-3441, CVE-2020-3471, dan CVE-2020-3419.

sumber : ZDNET

Dukungan Firefox untuk Flash berakhir pada 26 Januari

November 18, 2020 by Winnie the Pooh

Mozilla menjelaskan pada hari Selasa bahwa Firefox 85 akan dirilis tanpa ada dukungan untuk Adobe Flash.

“Firefox versi 84 akan menjadi versi terakhir yang mendukung Flash. Pada 26 Januari 2021 ketika kami merilis Firefox versi 85, akan dikirimkan tanpa dukungan Flash, meningkatkan kinerja dan keamanan kami,” kata Mozilla dalam sebuah posting.

“Tidak akan ada setelan untuk mengaktifkan kembali dukungan Flash. Plugin Adobe Flash akan berhenti memuat konten Flash setelah 12 Januari 2021.”

Mozilla mengatakan jika sebuah perusahaan memerlukan dukungan lisensi Flash setelah masa berakhir, mereka harus menghubungi Harman Samsung untuk mendapatkan dukungan yang didukung Adobe.

Berita selengkapnya:
Sumber: ZDNet

Firefox 83 dirilis dengan ‘HTTPS-Only Mode’ yang hanya memuat situs HTTPS

November 18, 2020 by Winnie the Pooh

Firefox 83, dijadwalkan untuk rilis hari ini, akan memiliki fitur keamanan baru bernama “HTTPS-Only Mode” yang akan mencoba memuat semua situs web melalui HTTPS atau menampilkan pesan kesalahan di situs yang hanya mendukung protokol HTTP yang lebih lama dan tidak aman.

Secara default, fitur baru ini dinonaktifkan, tetapi pengguna dapat mengaktifkannya dengan membuka halaman Opsi Firefox, ke bagian Privasi & Keamanan, lalu mencari pengaturan HTTPS-Only Mode.

Fitur HTTPS-Only Mode baru ini juga dapat diaktifkan atau dinonaktifkan dengan mengklik ikon kunci di bilah alamat dan memilihnya dari drop-down panel yang muncul.

Menurut Mozilla, fitur baru ini bekerja dengan mencoba menemukan versi HTTPS dari situs web mana pun, meskipun pengguna telah mengakses situs tersebut dengan mengetik atau mengklik tautan HTTP.

Jika Firefox tidak dapat meningkatkan versi situs secara otomatis ke koneksi HTTPS, browser akan menampilkan halaman eror kepada pengguna dan meminta mereka untuk mengklik tombol untuk mengonfirmasi bahwa mereka ingin mengakses situs web tersebut melalui koneksi HTTP yang lebih lama.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Fitur Zoom baru dapat memberi tahu pemilik ‘room’ tentang kemungkinan gangguan Zoombombing

November 17, 2020 by Winnie the Pooh

Pembuat perangkat lunak konferensi video Zoom telah meluncurkan fitur baru yang dapat memperingatkan penyelenggara konferensi ketika rapat online mereka berisiko terganggu serangan Zoombombing.

Dinamakan “At-Risk Meeting Notifier,” fitur baru ini adalah layanan yang berjalan di server backend Zoom dan bekerja dengan terus memindai postingan publik di media sosial dan situs publik lainnya untuk menemukan link rapat Zoom.

Saat At-Risk Meeting Notifier menemukan URL rapat Zoom, secara otomatis mengirimkan email ke penyelenggara konferensi dengan peringatan bahwa orang lain mungkin dapat mengakses ruangan mereka dan mungkin mengganggu rapat mereka.

Jenis gangguan ini dikenal sebagai Zoombombing atau Zoom raids, dan itu telah menjadi masalah besar bagi perusahaan sepanjang tahun.

Zoombombing adalah saat seseorang terhubung ke ruang Zoom tanpa diundang dan mengganggu rapat dengan melontarkan hinaan, memutar konten pornografi, atau mengancam peserta lain.

Sementara Departemen Kehakiman AS mengancam akan menuntut Zoom bombers pada bulan April, Zoombombing tidak pernah benar-benar berhenti.

Bahkan jika Zoom mulai menerapkan kata sandi rapat dan menambahkan tombol “Laporkan Peserta”, Zoombombing terus berlangsung, terutama didorong oleh peserta rapat yang secara anonim membagikan tautan dan kata sandi ke rapat Zoom pribadi secara online, membuat Zoom bombers untuk terhubung dan mendatangkan malapetaka.

Melalui fitur At-Risk Meeting Notifier yang baru, Zoom berharap dapat mengurangi beberapa gangguan Zoom yang masih terjadi hari ini, bahkan sebelum itu terjadi.

Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet

Fitur Apple iOS Safari dapat digunakan untuk berbagi Headline “berita palsu”

November 15, 2020 by Winnie the Pooh

Fitur berbagi tautan di browser Apple Safari versi iOS memungkinkan pengguna iPhone, iPad, dan iPod Touch mengubah berita utama saat berbagi bagian halaman web. Seorang peneliti telah menyuarakan keprihatinan bahwa fitur ini dapat disalahgunakan tidak hanya untuk membuat lelucon yang tidak berbahaya tetapi juga untuk berbagi “berita palsu” yang berdampak lebih luas.

Saat menelusuri halaman web, seperti artikel berita di browser web Safari pada iPhone atau iPad, pengguna dapat memilih untuk memilih dan membagikan sebagian kutipan teks dari halaman tersebut, daripada seluruh halaman itu sendiri. Namun, kutipan teks juga dapat berasal dari kolom input teks yang dapat dikontrol dan diedit oleh pengguna. Meskipun temuan terkait masalah ini dipublikasikan pada awal 2019, perangkat Apple iOS terbaru terus dikirimkan dengan fitur ini diaktifkan.

Josh Long, Kepala Analis Keamanan di Intego percaya selain lelucon yang tidak berbahaya, fitur ini dapat memiliki dampak yang lebih luas jika disalahgunakan untuk menyebarkan informasi palsu. Long memberi tahu BleepingComputer bahwa dia telah menguji versi terbaru iOS yang dirilis bulan ini tetapi fiturnya, atau lebih tepatnya masalahnya terus berlanjut. Pada 5 November, Apple merilis iOS 14.2, iPadOS 14.2, dan iOS 12.4.9, tidak ada yang menyelesaikan bug.

sumber : BleepingComputer

Ticketmaster Mendapat Denda Besar Selama Pelanggaran Data 2018

November 15, 2020 by Winnie the Pooh

Raksasa acara menghadapi hukuman terkait GDPR di Inggris, dan lebih banyak lagi bisa mengikuti. Divisi Ticketmaster Inggris telah didenda $ 1,65 juta oleh Kantor Komisaris Informasi (ICO) di Inggris, atas pelanggaran data 2018 yang berdampak pada 9,4 juta pelanggan.

Denda (£ 1,25 juta) telah dikenakan setelah ICO menemukan bahwa perusahaan “gagal menerapkan langkah-langkah keamanan yang sesuai untuk mencegah serangan cyber pada bot-chat yang dipasang di halaman pembayaran online-nya” – kegagalan yang melanggar Peraturan Perlindungan Data Umum (GDPR) UE.

Pada Juni 2018, raksasa penjualan tiket itu mengatakan bahwa mereka menemukan malware dalam fungsi obrolan pelanggan untuk situs webnya, yang dihosting oleh Inbenta Technologies. Yang mengkhawatirkan, kode berbahaya tersebut ditemukan mengakses berbagai informasi, termasuk nama, alamat, alamat email, nomor telepon, detail pembayaran, dan detail login Ticketmaster. Belakangan diketahui bahwa serangan itu adalah pekerjaan geng Magecart, yang dikenal karena menyuntikkan skimmer pembayaran ke komponen situs web yang rentan.

sumber : ThreatPost

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Software / Application

Cookies Settings