Technology

Cyberspies China Tertangkap Mengeksploitasi VMware ESXi Zero-Day

June 15, 2023 by Coffee Bean

UNC3886 telah menggunakan vSphere Installation Bundles (VIB) berbahaya – paket yang biasanya digunakan untuk memelihara sistem dan menyebarkan pembaruan – untuk menginstal backdoors pada ESXi hypervisors dan mendapatkan eksekusi perintah, manipulasi file, dan kemampuan reverse shell.

Tindakan jahat grup tersebut akan berdampak pada host VMware ESXi, server vCenter, dan mesin virtual Windows (VM).

Dalam serangan baru-baru ini, mata-mata dunia maya terlihat mengambil kredensial dari vCenter Server untuk semua host ESXi yang terhubung, menerapkan pintu belakang menggunakan soket VMCI untuk pergerakan dan persistensi lateral, serta memodifikasi dan menonaktifkan layanan logging pada sistem yang disusupi.

Selain itu, grup tersebut telah mengeksploitasi kerentanan zero-day di VMware Tools untuk melewati otentikasi dan menjalankan perintah istimewa di VM tamu Windows, Linux, dan PhotonOS (vCenter).

Dilacak sebagai CVE-2023-20867, kerentanan tersebut memiliki peringkat ‘keparahan rendah’, karena eksploitasinya mengharuskan penyerang memiliki akses root ke server ESXi.

“Host ESXi yang sepenuhnya dikompromikan dapat memaksa VMware Tools untuk gagal mengautentikasi operasi host-ke-tamu, yang berdampak pada kerahasiaan dan integritas mesin virtual tamu,” VMware menjelaskan dalam sebuah nasihat. VMware Tools versi 12.2.5 mengatasi kekurangan tersebut.

Menurut Mandiant, UNC3886 terlihat menggunakan skrip untuk mengambil kredensial dari server vCenter yang dikompromikan melalui database vPostgreSQL yang terhubung, menghitung semua host ESXi dan VM tamu mereka, dan mengubah daftar IP yang diizinkan di semua host ESXi yang terhubung.

Cyberspies juga menggunakan skrip instalasi untuk menyebarkan VIB berbahaya ke host, dan mengeksploitasi CVE-2023-20867 untuk menjalankan perintah dan mentransfer file dari host ESXi yang disusupi ke dan dari VM tamu, tanpa autentikasi dan tanpa jejak.

Malware memberi penyerang tingkat kegigihan baru (akses ke host ESXi yang terinfeksi diperoleh kembali dengan mengakses VM) yang juga memungkinkan untuk memotong segmentasi jaringan dan menghindari tinjauan keamanan untuk port mendengarkan terbuka.

UNC3886 dikenal karena mengeksploitasi bug zero-day dalam solusi firewall dan virtualisasi dalam serangan yang menargetkan organisasi pertahanan, teknologi, dan telekomunikasi di AS dan di kawasan Asia-Pasifik.

sumber : securityweek.com

Malware AI Mengembangkan Masalah Keamanan, survei CyberArk menemukan

June 15, 2023 by Coffee Bean

Sebuah laporan global baru oleh perusahaan keamanan siber CyberArk mengungkapkan bahwa pertemuan antara kondisi ekonomi yang menantang dan inovasi teknologi yang cepat, termasuk munculnya kecerdasan buatan (AI), memperluas lanskap ancaman keamanan siber yang dipimpin oleh identitas.

CyberArk 2023 Identity Security Threat Landscape Report, ditugaskan oleh CyberArk dan dilakukan oleh firma riset pasar Vanson Bourne, mensurvei 2.300 pembuat keputusan keamanan siber di seluruh organisasi sektor swasta dan publik dengan 500 karyawan ke atas di 16 negara. Ditemukan bahwa hampir semua organisasi — 99,9% — mengantisipasi kompromi terkait identitas tahun ini, karena faktor-faktor seperti pemotongan ekonomi, masalah geopolitik, adopsi cloud, dan kerja hybrid.

Ancaman yang diaktifkan oleh AI adalah masalah yang signifikan, dengan 93% profesional keamanan yang disurvei memperkirakan ancaman tersebut akan berdampak pada organisasi mereka pada tahun 2023. Malware bertenaga AI disebut-sebut sebagai perhatian utama.

Enam puluh delapan persen organisasi mengharapkan masalah keamanan siber didorong oleh churn karyawan pada tahun 2023.

Laporan tersebut juga mengungkapkan bahwa organisasi berencana untuk menerapkan 68% lebih banyak alat software-as-a-service (SaaS) dalam 12 bulan ke depan. Karena sebagian besar identitas manusia dan mesin memiliki akses ke data sensitif melalui alat ini, jika tidak diamankan dengan baik, mereka dapat menjadi gerbang serangan.

Delapan puluh sembilan persen organisasi mengalami serangan ransomware dalam satu tahun terakhir, dengan 60% organisasi yang terkena dampak melaporkan melakukan pembayaran berkali-kali untuk pulih dari serangan ini.

Sektor energi, minyak, dan gas tampak sangat rentan, dengan 67% perusahaan di industri ini berharap mereka tidak akan dapat menghentikan atau bahkan mendeteksi serangan yang berasal dari rantai pasokan perangkat lunak mereka.

Area penting dari lingkungan TI tidak cukup terlindungi, dan tipe identitas tertentu menunjukkan risiko yang signifikan. Misalnya, 63% responden mengatakan bahwa akses karyawan dengan sensitivitas tertinggi tidak cukup aman.

sumber : venturebeat.com

Fitur Heatmap Strava Disalahgunakan Untuk Mencari Alamat Rumah

June 14, 2023 by Coffee Bean

Para peneliti di North Carolina State University Raleigh telah menemukan risiko privasi dalam fitur peta panas aplikasi Strava yang dapat mengarah pada identifikasi alamat rumah pengguna.

Strava adalah aplikasi pendamping lari dan pelacakan kebugaran yang populer dengan lebih dari 100 juta pengguna di seluruh dunia, membantu orang melacak detak jantung, detail aktivitas, lokasi GPS, dan banyak lagi.

Pada tahun 2018, Strava menerapkan fitur yang disebut “peta panas” yang secara anonim mengumpulkan aktivitas pengguna (pelari, pesepeda, pejalan kaki) untuk membantu pengguna menemukan jalur atau tempat berolahraga, bertemu individu yang berpikiran sama, dan melakukan sesi mereka di lokasi yang lebih ramai dan lebih aman.

Namun, seperti yang ditemukan para peneliti, fitur ini membuka kemungkinan untuk melacak dan menghapus anonimisasi pengguna menggunakan data peta panas yang tersedia untuk umum dikombinasikan dengan metadata pengguna tertentu.

BAGAIMANA CARANYA?
Langkah pertama yang diambil oleh para peneliti adalah mengumpulkan data yang tersedia untuk umum melalui peta panas Strava selama sebulan untuk negara bagian Arkansas, Ohio, dan Carolina Utara.

Selanjutnya, mereka menggunakan analisis gambar untuk mendeteksi area mulai/berhenti di samping jalan, yang menunjukkan bahwa rumah tertentu terkait dengan sumber aktivitas yang dilacak.

Activity heat nearby a house (anupamdas.org)

Setelah memilih tangkapan layar peta panas yang sesuai dengan kriteria, tim melapisi gambar OpenStreetMaps pada tingkat zoom yang membantu mengidentifikasi alamat tempat tinggal individu.

Overlaying home locations (anupamdas.org)

Langkah selanjutnya adalah melakukan perayapan pengguna dengan memanfaatkan fitur pencarian yang tidak terdokumentasi dengan baik di Strava untuk menemukan pengguna yang telah mendaftarkan kota tertentu sebagai lokasi mereka.

Dengan membandingkan titik akhir dari peta panas dan data pribadi pengguna dari fungsi pencarian, peneliti dapat mengkorelasikan titik aktivitas tinggi pada peta panas dan alamat rumah pengguna.

Profil Strava publik berisi data aktivitas dengan stempel waktu dan jarak, membuatnya lebih mudah untuk mengidentifikasi rute potensial yang cocok dengan pola dalam data peta panas, mempersempit orang dan kecocokan area.

Logika serangan dan ikhtisar data (anupamdas.org)

Karena banyak pengguna Strava mendaftar dengan nama asli mereka dan bahkan mengunggah foto profil diri mereka sendiri, menghubungkan identitas dengan lokasi rumah menjadi mungkin.

Untuk penelitian mereka, para ilmuwan mengkorelasikan temuan mereka dengan data pendaftaran pemilih dan menemukan prediksi mereka sekitar 37,5% akurat.

“Pengguna yang lebih aktif menghasilkan lebih banyak panas pada peta panas Strava dan karenanya lebih mudah diidentifikasi. Gambar 7 menunjukkan kemungkinan kecocokan berdasarkan jumlah aktivitas yang diposting,” jelas para peneliti.

“Untuk sisa analisis, kami akan mengasumsikan target serangan memposting aktivitas rata-rata, yang untuk kumpulan data kami adalah 308 aktivitas.”

“Dengan ambang batas 100 meter, dan korban memposting 308 aktivitas, kemungkinan untuk ditemukan adalah 37,5%.”

Semakin banyak aktivitas yang didaftarkan pengguna, semakin besar peluang serangan (anupamdas.org)

sumber : bleepingcomputer.com

Kini Pengguna Google Workspace dapat Login tanpa ‘Password’ berkat ‘Passkeys’

June 9, 2023 by Flamango

Pasca peluncuran konsumen bulan lalu, bisnis dapat membuang ‘password’ Google mereka.

Menindaklanjuti peluncuran dukungan ‘passkey’ Google untuk akun Google konsumen pada bulan Mei, Google telah memperluas info masuk tanpa ‘password’ ke akun bisnis Google Workspace.

Peluncuran Workspace tersebut sebagai “Open Beta” dan lebih dari 9 juta organisasi dapat mengizinkan penggunanya untuk masuk ke akun Google Workspace dan Google Cloud menggunakan ‘passkey’, bukan ‘password’.

‘Passkey’ adalah pengganti ‘password’ baru, dengan dukungan dari Google, Apple, dan Microsoft. Dukungan ‘passkey’ akan membuat mesin pengguna menukar pasangan kunci pribadi-publik dengan situs web menggunakan standar “WebAuthn”.

Pengguna masuk sebagian besar implementasi Passkey menjadikan perangkat portabel. Biasanya pengguna akan mengeluarkan ponsel dan membuka kuncinya, seperti 2FA atau SMS berbasis aplikasi.

Pada intinya ini adalah sebuah evolusi ‘password’ yaitu ‘passkey’, meningkatkan keamanan ‘password’ karena pengguna tidak akan pernah dapat menuliskannya, tidak dapat digunakan kembali di seluruh situs, dan jauh lebih sulit untuk di-phish, karena browser memutuskan ‘passkey’ mana yang termasuk dalam situs mana.

Pengaturan "Tanpa Kata Sandi" Workspaces baru. — Pengaturan “Tanpa Kata Sandi” Workspaces baru.

Tentunya ‘passkey’ memiliki kekurangan salah satunya yaitu belum semua platform didukung. Halaman dukungan perangkat ‘device support’ passkeys.dev menunjukkan dukungan terbatas untuk Linux dan Chrome OS.

Kemudian implementasi ‘passkey’ Apple/Google/Microsoft juga memaksa pengguna untuk menyinkronkan ‘passkey’nya dengan vendor OS yang dimiliki, dan mereka tidak saling berkomunikasi.

‘Passkey’ hanya akan disinkronkan ke produk Microsoft OS atau produk Google OS atau produk Apple OS. Pengguna akan melihat perbedaan untuk kombinasi lintas OS seperti ponsel Android dan komputer Windows, ‘passkey’ tidak akan disinkronkan dan akan bergantung pada kode QR berbasis sistem transfer.

Selengkapnya: arsTECHNICA

Kali Linux 2023.2 dirilis dengan 13 alat baru, citra HyperV pra-bangun

June 2, 2023 by Coffee Bean

Kali Linux 2023.2, versi kedua 2023, sekarang tersedia dengan image Hyper-V pre-built dan tiga belas alat baru, termasuk kerangka kerja Evilginx untuk mencuri kredensial dan cookie sesi.

Kali Linux adalah distribusi yang dirancang untuk peretas etis untuk melakukan pengujian penetrasi, audit keamanan, dan penelitian keamanan siber terhadap jaringan.

Dengan rilis kali ini, Tim Kali Linux memperkenalkan berbagai fitur baru, antara lain:

VM image baru untuk Hyper-V – dengan “Enhanced Session Mode”
Xfce audio stack update: memasukan PipeWire – Audio yang lebih baik untuk desktop default Kali
i3 desktop overhaul – i3-gaps merged with i3
Desktop updates – Hashing mudah di Xfce
GNOME 44 – bump versi Gnome Shell
Pembaruan ikon dan menu – Aplikasi dan ikon baru di menu
New tools – As always, various new packages added

How to get Kali Linux 2023.2
Untuk mulai menggunakan Kali Linux 2023.2, Anda dapat memutakhirkan instalasi yang ada, memilih platform, atau langsung mengunduh image ISO untuk instalasi baru dan distribusi langsung.

Bagi yang mengupdate dari versi sebelumnya, Anda bisa menggunakan perintah berikut untuk mengupgrade ke versi terbaru.

echo “deb http://http.kali.org/kali kali-rolling main contrib non-free non-free-firmware” | sudo tee /etc/apt/sources.list

sudo apt update && sudo apt -y full-upgrade

cp -vrbi /etc/skel/. ~/

[ -f /var/run/reboot-required ] && sudo reboot -f

Anda dapat melihat complete channelog untuk Kali 2023.2 di situs web Kali.

Asus Meminta Maaf Atas Maintenance Error Berdampak pada Konektivitas Router

May 20, 2023 by Coffee Bean

ASUS telah meminta maaf kepada pelanggannya atas kesalahan pemeliharaan keamanan sisi server yang telah menyebabkan berbagai model router yang terkena dampak kehilangan konektivitas jaringan.

Masalahnya telah dilaporkan secara luas di media sosial dan platform diskusi sejak 16 Mei 2023, dengan orang-orang tampak bingung dengan masalah konektivitas simultan pada beberapa router ASUS dan yang lainnya mengeluh tentang kurangnya komunikasi dari sisi vendor.

Seperti yang dijelaskan oleh pembuat perangkat keras Taiwan dalam pernyataan yang diterbitkan hari ini dan melalui buletin keamanan, masalahnya disebabkan oleh kesalahan dalam konfigurasi file pengaturan server.

“Selama pemeliharaan keamanan rutin, tim teknis kami menemukan kesalahan dalam konfigurasi file pengaturan server kami, yang berpotensi menyebabkan gangguan konektivitas jaringan pada sebagian router,” jelas ASUS dalam buletin dukungan.

Pernyataan masalah konektivitas router ASUS

Sementara pernyataan perusahaan tidak secara eksplisit menyatakan jenis kesalahan apa yang terjadi dan bagaimana tepatnya hal itu berdampak pada router jarak jauh, seorang pengguna di Reddit menjelaskan bahwa masalah konektivitas disebabkan oleh file definisi yang rusak untuk ASD (ASUS AiProtection).

Namun, komponen ini diperbarui terlepas dari apakah pengguna mengaktifkan pembaruan keamanan (firmware) otomatis di perangkat mereka atau tidak.

Dilaporkan, file definisi yang rusak untuk ASD secara otomatis didorong ke semua router yang terkena dampak, menyebabkan mereka kehabisan ruang dan memori sistem file dan akhirnya macet.

selengkapnya : bleepingcomputer.com

Pertarungan A.I. Selesai, Meta Memutuskan untuk Memberikan Permata Mahkotanya

May 19, 2023 by Coffee Bean Leave a Comment

Pada bulan Februari, Meta membuat langkah yang tidak biasa di dunia kecerdasan buatan yang berkembang pesat: Meta memutuskan untuk memberikan A.I. permata mahkota.

Raksasa Lembah Silikon, yang memiliki Facebook, Instagram, dan WhatsApp, telah menciptakan A.I. teknologi, yang disebut LLaMA, yang dapat mendukung chatbot online. Tapi alih-alih menyimpan teknologi itu sendiri, Meta merilis kode komputer yang mendasari sistem ke alam liar. Akademisi, peneliti pemerintah, dan lainnya yang memberikan alamat email mereka ke Meta dapat mengunduh kode setelah perusahaan memeriksa individu tersebut.

Intinya, Meta memberikan A.I. teknologi sebagai perangkat lunak sumber terbuka — kode komputer yang dapat disalin, dimodifikasi, dan digunakan kembali secara bebas — menyediakan semua yang dibutuhkan pihak luar untuk membuat chatbot mereka sendiri dengan cepat.
“Platform yang akan menang adalah yang terbuka,” Yann LeCun, kepala Meta A.I. ilmuwan, kata dalam sebuah wawancara.

Sebagai perlombaan untuk memimpin A.I. memanas di Silicon Valley, Meta berdiri keluar dari para pesaingnya dengan mengambil pendekatan yang berbeda untuk teknologi. Didorong oleh pendiri dan kepala eksekutifnya, Mark Zuckerberg, Meta percaya bahwa hal paling cerdas untuk dilakukan adalah membagikan A.I. mesin sebagai cara untuk menyebarkan pengaruhnya dan akhirnya bergerak lebih cepat menuju masa depan.

Tindakannya kontras dengan tindakan Google dan OpenAI, dua perusahaan yang memimpin A.I. perlombaan senjata. Khawatir bahwa A.I. alat seperti chatbots akan digunakan untuk menyebarkan disinformasi, ujaran kebencian, dan konten beracun lainnya, perusahaan tersebut menjadi semakin tertutup tentang metode dan perangkat lunak yang mendukung A.I. produk.

Google, OpenAI, dan lainnya mengkritik Meta, mengatakan bahwa pendekatan sumber terbuka yang tidak terkekang itu berbahaya. Peningkatan pesat AI dalam beberapa bulan terakhir telah menimbulkan peringatan tentang risiko teknologi, termasuk bagaimana hal itu dapat menjungkirbalikkan pasar kerja jika tidak digunakan dengan benar. Dan dalam beberapa hari setelah rilis LLaMA, sistem bocor ke 4chan, papan pesan online yang dikenal menyebarkan informasi palsu dan menyesatkan.

selengkapnya : archive.is

Dark Web ChatGPT Dilepaskan: Meet DarkBERT

May 17, 2023 by Coffee Bean

Kami masih berada di tahap awal dalam efek snowball yang dilepaskan oleh rilis Model Bahasa Besar (LLM) seperti ChatGPT ke alam liar. Dipasangkan dengan sumber terbuka model GPT (Generative Pre-Trained Transformer) lainnya, jumlah aplikasi yang menggunakan AI meledak; dan seperti yang kita ketahui, ChatGPT sendiri dapat digunakan untuk membuat malware yang sangat canggih.

Seiring berjalannya waktu, LLM yang diterapkan hanya akan meningkat, masing-masing berspesialisasi dalam bidangnya sendiri, dilatih dengan data yang dikuratori dengan cermat untuk tujuan tertentu. Dan satu aplikasi semacam itu baru saja diluncurkan, yang dilatih berdasarkan data dari web gelap itu sendiri. DarkBERT, sebagaimana pembuatnya di Korea Selatan menyebutnya, telah tiba — ikuti tautan untuk makalah rilis, yang memberikan pengenalan menyeluruh tentang web gelap itu sendiri.

DarkBERT didasarkan pada arsitektur RoBERTa, sebuah pendekatan AI yang dikembangkan pada tahun 2019. Ini telah mengalami semacam kebangkitan, dengan para peneliti menemukan bahwa sebenarnya memiliki lebih banyak kinerja untuk diberikan daripada yang dapat diekstraksi darinya pada tahun 2019. Tampaknya model tersebut sangat terlatih ketika dirilis, jauh di bawah efisiensi maksimumnya.

Untuk melatih model, para peneliti merayapi Dark Web melalui firewall anonim dari jaringan Tor, dan kemudian memfilter data mentah (menerapkan teknik seperti deduplikasi, penyeimbangan kategori, dan pra-pemrosesan data) untuk menghasilkan database Dark Web. DarkBERT adalah hasil dari basis data yang digunakan untuk memberi makan Model Bahasa Besar RoBERTa, model yang dapat menganalisis bagian baru dari konten Web Gelap — ditulis dalam dialeknya sendiri dan pesan berkode berat — dan mengekstrak informasi berguna darinya.

Mengatakan bahwa bahasa Inggris adalah bahasa bisnis dari Web Gelap tidak akan sepenuhnya benar, tetapi itu adalah ramuan yang cukup spesifik sehingga para peneliti percaya bahwa LLM tertentu harus dilatih tentangnya. Pada akhirnya, mereka benar: para peneliti menunjukkan bahwa DarkBERT mengungguli model bahasa besar lainnya, yang memungkinkan peneliti keamanan dan penegak hukum untuk menembus lebih dalam ke relung web. Lagipula, di situlah sebagian besar aksinya.

Seperti LLM lainnya, itu tidak berarti DarkBERT selesai, dan pelatihan dan penyetelan lebih lanjut dapat terus meningkatkan hasilnya. Bagaimana itu akan digunakan, dan pengetahuan apa yang bisa diperoleh, masih harus dilihat.

sumber : tomshardware.com

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Technology

Cookies Settings