Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat

Threat

Cacat RCE-Log4J dalam Database H2 Mendapatkan Peringkat Kritis

by

Para peneliti menemukan bug yang terkait dengan kerentanan perpustakaan penebangan Log4J, yang dalam hal ini membuka pintu bagi musuh untuk mengeksekusi kode jarak jauh pada sistem yang rentan. Namun, cacat ini tidak menimbulkan risiko yang sama dengan yang diidentifikasi sebelumnya di Log4Shell, kata mereka.

Keamanan JFrog menemukan cacat dan dinilai penting dalam konteks konsol database H2 Java, database open-source yang populer, menurut posting blog Kamis oleh para peneliti.

H2 menarik bagi pengembang untuk solusi dalam memori yang ringan – yang menghalangi kebutuhan data untuk disimpan di disk – dan digunakan dalam platform web seperti Spring Boot dan platform IoT seperti ThingWorks.

Namun, cacat (CVE-2021-42392) mirip dengan Log4Shell. “[Saya] seharusnya tidak tersebar luas” karena beberapa kondisi dan faktor, peneliti JFrog Andrey Polkovnychenko dan Shachar Menashe menulis dalam posting mereka.

Log4Shell (CVE-2021-44228) diikat ke perpustakaan penebangan Apache Log4j pada awal Desember dan segera dieksploitasi oleh penyerang. Ini melahirkan 60 varian dari eksploitasi asli yang dibuat untuk cacat dalam periode 24 jam serta perbaikan yang salah yang dapat menyebabkan serangan DoS ketika pertama kali dirilis.

Bagaimana Bug H2 Mirip dengan Log4J?

Akar penyebab cacat H2 didasarkan pada pemuatan kelas jarak jauh JNDI, sehingga mirip dengan Log4Shell karena memungkinkan beberapa jalur kode dalam kerangka database H2 melewati URL yang dikendalikan penyerang tanpa filter ke fungsi javax.naming.Context.lookup. Hal ini memungkinkan untuk pemuatan basis kode jarak jauh, juga dikenal sebagai injeksi kode Java atau eksekusi kode jarak jauh, kata para peneliti.

“Secara khusus, metode org.h2.util.JdbcUtils.getConnection mengambil nama kelas driver dan URL database sebagai parameter,” mereka menjelaskan dalam posting. “Jika kelas pengemudi ditugaskan ke javax.naming.Context class, metode instantiates objek dari itu dan memanggil metode pencariannya.”

Alasan untuk Waspada, tetapi Tidak Panik

Namun, tidak seperti Log4Shell, kelemahan H2 memiliki ruang lingkup dampak “langsung”, yang berarti bahwa biasanya server yang memproses permintaan awal — yaitu, konsol H2 — akan merasakan beban langsung dari bug eksekusi kode jarak jauh (RCE), tulis para peneliti dalam sebuah posting yang diterbitkan Kamis.

“Ini kurang parah dibandingkan dengan Log4Shell karena server yang rentan harus lebih mudah ditemukan,” tulis para peneliti.

Kedua, secara default pada distribusi vanila dari database H2, konsol H2 hanya mendengarkan koneksi localhost, sehingga membuat pengaturan default aman, mereka menekankan.

“Ini tidak seperti Log4Shell yang dapat dieksploitasi dalam konfigurasi default Log4j,” tulis para peneliti. Namun, konsol H2 dapat dengan mudah dimodifikasi untuk mendengarkan koneksi jarak jauh juga, yang akan memperluas risiko, para peneliti menambahkan.

Memang, aspek eksekusi cacat ini pasti mengurangi keparahannya dibandingkan dengan masalah Log4j, catat seorang profesional keamanan.

“Log4j unik karena sejumlah string yang dimanipulasi serangan, dari header ke jalur URL, dapat mengakibatkan eksploitasi korban tergantung pada bagaimana aplikasi didirikan untuk memanfaatkan penebangan dengan Log4j,” Matthew Warner, CTO dan co-founder di deteksi ancaman otomatis dan penyedia teknologi respons Blumira, menulis dalam email ke Threatpost. “Dalam hal ini, konsol database H2 harus sengaja terkena internet dengan mengubah konfigurasi.”

Ketiga, sementara banyak vendor mungkin menjalankan database H2, mereka mungkin tidak menjalankan konsol H2 dengan itu, kata para peneliti JFrog. Ada vektor serangan lain yang dapat mengeksploitasi cacat H2; Namun, mereka “tergantung konteks dan kecil kemungkinannya terkena penyerang jarak jauh,” para peneliti mengamati.

Siapa yang berisiko?

Jika cacat H2 tidak layak mendapatkan alarm yang sama dengan Log4Shell, mengapa perlu dicatat, orang mungkin bertanya. Tim JFrog mengatakan bahwa itu bisa sangat penting dan memungkinkan RCE yang tidak diautistik bagi mereka yang menjalankan konsol H2 yang terkena jaringan area lokal (LAN) atau, bahkan lebih buruk lagi, jaringan area luas (WAN). Memang, menyerang konsol H2 secara langsung adalah vektor serangan yang paling parah, kata para peneliti.

Warner Blumira mengatakan bahwa menurut open-source intelligence (OSINT), kemungkinan ada kurang dari 100 server di internet yang terkena dampak cacat H2, “jadi hanya sejumlah organisasi yang sangat terbatas” yang terkena dampak langsung, katanya.

“Kerentanan ini adalah pengingat yang baik bahwa penting untuk memastikan bahwa layanan sensitif hanya terpapar secara internal untuk mengurangi potensi risiko di masa depan,” tambah Warner.

Namun, peneliti JFrog mengatakan bahwa banyak alat pengembang bergantung pada database H2 dan secara khusus mengekspos konsol H2. Hal ini mengkhawatirkan karena “tren serangan rantai pasokan baru-baru ini yang menargetkan pengembang, seperti paket berbahaya di repositori populer.”

Serangan-serangan ini menekankan “pentingnya alat pengembang yang dibuat aman untuk semua kasus penggunaan yang wajar,” tulis para peneliti, itulah sebabnya mereka berharap banyak alat yang bergantung pada H2 akan lebih aman setelah menerapkan perbaikan yang direkomendasikan.

Pada saat itu, tim JFrog merekomendasikan agar semua pengguna database H2 untuk meng-upgrade ke versi 2.0.206, yang memperbaiki CVE-2021-42392 dengan membatasi URL JNDI untuk menggunakan protokol java lokal saja, menolak kueri LDAP / RMI jarak jauh, para peneliti menjelaskan.

“Ini mirip dengan perbaikan yang diterapkan di Log4j 2.17.0,” tulis mereka.

Bahkan mereka yang tidak secara langsung menggunakan konsol H2 harus memperbarui “karena fakta bahwa vektor serangan lain ada, dan eksploitasi mereka mungkin sulit untuk dipastikan,” tambah para peneliti.

Sumber: Threat Post

Ups: Cyberspies menginfeksi diri mereka sendiri dengan malware mereka sendiri

by

Setelah menginfeksi diri mereka sendiri dengan trojan akses jarak jauh (RAT), sebuah kelompok spionase dunia maya yang terkait dengan India secara tidak sengaja memaparkan operasinya kepada peneliti keamanan.

Pelaku ancaman telah aktif setidaknya sejak Desember 2015 dan dilacak sebagai PatchWork (alias Dropping Elephant, Chinastrats, atau Quilted Tiger) karena penggunaan kode copy-paste.

Malwarebytes Labs mengamati pelaku ancaman menggunakan dokumen RTF berbahaya yang meniru otoritas Pakistan untuk menginfeksi target dengan varian baru RAT BERITA BURUK, yang dikenal sebagai Ragnatela.

Ragnatela RAT memungkinkan pelaku ancaman untuk mengeksekusi perintah, mengambil snapshot layar, mencatat penekanan tombol, memanen file sensitif dan daftar aplikasi yang sedang berjalan, menyebarkan muatan tambahan, dan mengunggah file.

“Ironisnya, semua informasi yang kami kumpulkan dimungkinkan berkat aktor ancaman yang menginfeksi diri mereka sendiri dengan RAT mereka sendiri, menghasilkan penekanan tombol dan tangkapan layar yang ditangkap dari komputer dan mesin virtual mereka sendiri,” jelas Tim Intelijen Ancaman Malwarebytes Labs.

Setelah menemukan bahwa operator PatchWork menginfeksi sistem pengembangan mereka sendiri dengan RAT, para peneliti dapat memantau mereka saat menggunakan VirtualBox dan VMware untuk pengujian dan pengembangan web dan pengujian pada komputer dengan tata letak keyboard ganda (yaitu, Inggris dan India).

PatchWork menguji RAT Ragnatela (Malwarebytes LABS)

Saat mengamati operasi mereka, mereka juga memperoleh info tentang target yang dikompromikan kelompok, termasuk Kementerian Pertahanan Pakistan dan anggota fakultas dari kedokteran molekuler dan departemen ilmu biologi di beberapa universitas seperti Universitas Pertahanan Nasional Islam Abad, Fakultas Bio-Universitas UVAS. Sains, institut Penelitian HEJ Karachi, dan Universitas SHU.

Operator PatchWork sebelumnya telah menargetkan think tank AS pada Maret 2018 dalam beberapa kampanye spear-phishing menggunakan taktik yang sama dengan mendorong file RTF berbahaya untuk membahayakan sistem korban mereka dan varian malware QuasarRAT.

Dua bulan sebelumnya, pada Januari 2018, mereka diamati mendorong dokumen bersenjata yang mengirimkan malware BADNEWS dalam serangan terhadap target dari anak benua India.

Mereka juga berada di balik kampanye spear-phishing yang menargetkan karyawan organisasi pemerintah Eropa pada akhir Mei 2016.

Sumber : Bleeping Computer

Polisi China menjebak Walmart karena celah keamanan siber – media lokal

by

Polisi di kota Shenzhen, China selatan, menemukan 19 “kerentanan” dalam sistem jaringan Walmart (WMT.N) pada akhir November dan menuduhnya lambat untuk memperbaiki celah, China Quality News, yang didukung oleh regulator pasar negara itu, melaporkan pada Rabu.

Walmart diperintahkan untuk melakukan perbaikan, kata laporan itu, tanpa menyebutkan denda atau rincian kerentanan.

Ini menandai serangkaian masalah baru di China untuk Walmart, yang pada bulan lalu telah menghadapi kritik atas apa yang dikatakan media lokal sebagai penghapusan yang disengaja atas produk-produk yang bersumber dari Xinjiang dari aplikasi dan tokonya.

Xinjiang adalah titik konflik yang berkembang antara pemerintah Barat dan China, karena para ahli dan kelompok hak asasi PBB memperkirakan lebih dari satu juta orang, terutama Uyghur dan anggota minoritas Muslim lainnya, telah ditahan di kamp-kamp di sana.

China telah menolak tuduhan kerja paksa atau pelanggaran lainnya di wilayah barat jauh.

Walmart telah melihat gelombang pembatalan keanggotaan di lengannya Sam’s Club di China sejak masalah Xinjiang. Badan anti-korupsi China juga menuduh pengecer dan Klub Sam “kebodohan dan kepicikan”.

Reuters melaporkan bahwa seorang eksekutif Sam’s Club mengatakan kepada analis melalui telepon bahwa masalah tersebut adalah “kesalahpahaman” dan bahwa tidak ada penghapusan produk-produk yang berasal dari Xinjiang secara sengaja.

Pada bulan Desember, Klub Sam didenda 10.000 yuan ($ 1.568) di Shanghai oleh regulator pasar kota karena melanggar undang-undang keamanan pangan setelah mereka menemukan bahwa produk sayuran beku tidak memiliki tanggal produksi atau kadaluwarsa, menurut laporan media lokal yang terpisah.

Sumber : Reuters

QNAP: Jauhkan Perangkat NAS Dari Internet Sekarang

by

Pabrikan Taiwan QNAP memperingatkan: Ransomware dan serangan brute force secara luas menargetkan semua perangkat jaringan.

“Korban yang paling rentan adalah perangkat yang terpapar ke Internet tanpa perlindungan apa pun,” kata QNAP pada hari Jumat, mendesak semua pengguna QNAP NAS untuk mengikuti instruksi pengaturan keamanan yang disertakan oleh pembuat NAS Taiwan dalam peringatannya.

Pertama, untuk memeriksa apakah NAS Anda terpapar ke internet, QNAP menginstruksikan pemilik perangkat untuk membuka Penasihat Keamanan perangkat: portal keamanan internal yang mengintegrasikan perangkat lunak anti-virus dan anti-malware.

“NAS Anda terpapar ke Internet dan berisiko tinggi jika ada yang menunjukkan ‘Layanan Administrasi Sistem dapat langsung diakses dari alamat IP eksternal melalui protokol berikut: HTTP’ di dasbor.” —QNAP

Jika perangkat NAS Anda ternyata terbuka ke internet, QNAP merekomendasikan untuk nonaktifkan fungsi Port Forwarding pada router dan fungsi UPnP dari QNAP NAS.

QNAP juga memberikan instruksi terperinci tentang cara mencegah infeksi malware, termasuk melalui kebersihan kata sandi, mengaktifkan IP dan perlindungan akses akun untuk mencegah serangan brute force, menonaktifkan koneksi SSH dan Telnet jika Anda tidak menggunakan layanan ini, dan menghindari penggunaan port default angka seperti 22, 443, 80, 8080 dan 8081.

Selengkapnya: Threat Post

Jaringan hotel mengubah PC Windows ke Chrome OS menggunakan CloudReady setelah serangan ransomware

by

Pada akhir tahun 2020, Google mengakuisisi perusahaan yang menawarkan perangkat lunak untuk mengubah PC lama menjadi perangkat seperti Chrome OS.

Dalam satu contoh terkenal, jaringan hotel Norwegia beralih ke CloudReady untuk mengubah beberapa ribu laptop Windows yang dikunci dari ransomware menjadi Chromebook.

Nordic Choice Hotels adalah jaringan besar di Skandinavia, Finlandia, dan Baltik dengan 200 properti. Nordic Choice Hotels mengalami serangan ransomware pada bulan Desember, seperti yang dilaporkan E24, yang mengenkripsi file perangkat dan mengharuskan staf TI untuk menghapus internet/jaringan mereka.

Peretasan langsung ini menuntut grup hotel membayar uang tebusan untuk mendapatkan kembali file (catatan karyawan tetapi bukan informasi tamu) dan mencegah kebocoran.

Dalam hal dampak, staf harus menggunakan pena dan kertas (atau lebih tepatnya, spidol dan papan tulis), sementara sistem kartu kunci yang jatuh mengharuskan karyawan untuk “mengunci semua tamu dengan kartu kunci utama.”

Alih-alih menghabiskan beberapa jam untuk menghapus virus dari setiap perangkat, Nordic Choice memutuskan untuk mempercepat proyek migrasi Chrome yang sebelumnya sudah berlangsung.

Secara keseluruhan, 2.000 laptop Windows, yang terlihat seperti Lenovo ThinkPads, diubah dengan CloudReady menjadi pengalaman seperti Chromebook dalam 48 jam.

Google tampaknya telah membantu ini dengan membiarkan mereka “melompat dalam antrian untuk menjalankan dan menjalankan proyek.”

Selengkapnya: 9to5 Google

Aktor FIN7 mengirim drive USB Berbahaya ke perusahaan AS dengan ransomware

by

FBI telah mengidentifikasi perangkat USB berbahaya yang dikirim ke perusahaan AS dalam beberapa bulan terakhir dengan motif untuk menginfeksi jaringan perusahaan dengan malware dan penurunan muatan lebih lanjut.

Kelompok di balik operasi USB berbahaya ini diketahui sebagai aktor FIN7, yang berada di balik ransomware BlackMatter dan Darkside.

Sesuai laporan FBI, beberapa paket dengan drive USB telah dikirim ke perusahaan AS termasuk industri pertahanan, asuransi, dan transportasi.

Pengiriman dilakukan melalui United Parcel Service dan United States Postal Service. Paket datang dalam dua varian, satu dengan nama Departemen Kesehatan dan Layanan Kemanusiaan AS, dengan beberapa pedoman COVID-19 dan drive USB.

Yang lainnya disamarkan sebagai Paket Amazon dengan dekorasi hadiah, pesan terima kasih, kartu hadiah, dan drive USB. Satu hal yang umum di antara kedua paket ini adalah bahwa drive USB berasal dari merek LilyGo.

Setelah penerima menyambungkan drive USB ini ke perangkat mereka, serangan BadUSB dimulai.

Serangan BadUSB adalah serangan keamanan yang menginfeksi perangkat dengan memprogram ulang drive USB dengan perangkat lunak berbahaya.

Dengan program jahat ini, para aktor dapat mengunduh banyak muatan ke dalam perangkat dan menjadikannya sebagai pintu belakang untuk penyusupan lebih lanjut.

Setelah aktor mendapatkan hak istimewa admin untuk sistem, mereka melanjutkan serangan mereka dengan menyebarkan malware secara lateral di seluruh jaringan yang memengaruhi perangkat rekan lainnya.

Setelah distribusi lateral yang sukses, aktor FIN7 menggunakan beberapa alat untuk menyebarkan ransomware REvil dan BlackMatter. Alat-alat tersebut antara lain Cobalt Strike, Metasploit, Carbanak, TIRION, DICELOADER, GRIFFON, dan Carbanak.

Selengkapnya: The Cybersecurity Times

Bug VMware yang Belum Ditambal Sebagian Membuka Pintu untuk Pengambilalihan Hypervisor

by

Kerentanan keamanan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMware dapat membuka jalan bagi pengambilalihan hypervisor di lingkungan virtual – dan tambalan masih tertunda untuk beberapa pengguna.

Bug (CVE-2021-22045) adalah kerentanan heap-overflow dengan tingkat keparahan tinggi yang membawa peringkat CVSS 7,7 dari 10.

Heap overflows adalah masalah memori yang dapat mengakibatkan kerusakan data atau perilaku tak terduga oleh proses apa pun yang mengakses memori yang terpengaruh area – dalam beberapa kasus mengakibatkan eksekusi kode jarak jauh (RCE).

Dalam hal ini, masalah secara khusus ada dalam fungsi emulasi perangkat CD-ROM dari produk yang terpengaruh.

“Aktor jahat dengan akses ke mesin virtual dengan emulasi perangkat CD-ROM mungkin dapat mengeksploitasi kerentanan ini bersama dengan masalah lain, untuk mengeksekusi kode pada hypervisor dari mesin virtual,” vendor mencatat dalam penasihatnya. “Eksploitasi yang berhasil membutuhkan gambar CD untuk dilampirkan ke mesin virtual.”

Reno Robert, peneliti kerentanan senior untuk Zero Day Initiative dari Trend Micro, mengatakan kepada Threatpost bahwa masalah tersebut disebabkan oleh “kurangnya validasi yang tepat dari panjang data yang disediakan pengguna sebelum menyalinnya ke buffer berbasis heap dengan panjang tetap.”

Selengkapnya: Threat Post

Night Sky adalah Ransomware Terbaru yang Menargetkan Jaringan Perusahaan

by

Ini adalah tahun baru, dan dengan itu datang ransomware baru untuk mengawasi disebut ‘Night Sky’ yang menargetkan jaringan perusahaan dan mencuri data dalam serangan pemerasan ganda.

Menurut MalwareHunterteam, yang pertama kali melihat ransomware baru, operasi Night Sky dimulai pada 27 Desember dan sejak itu menerbitkan data dua korban.

Salah satu korban telah menerima permintaan tebusan awal sebesar $ 800.000 untuk mendapatkan decryptor dan untuk data yang dicuri yang tidak dipublikasikan.

Bagaimana Night Sky mengenkripsi perangkat

Sampel ransomware Night Sky yang dilihat oleh BleepingComputer disesuaikan untuk berisi catatan tebusan yang dipersonalisasi dan kredensial login hardcoded untuk mengakses halaman negosiasi korban.

Ketika diluncurkan, ransomware akan mengenkripsi semua file kecuali yang diakhiri dengan ekstensi file .dll atau .exe. Ransomware juga tidak akan mengenkripsi file atau folder dalam daftar di bawah ini:

  • AppData
  • Boot
  • Windows
  • Windows.old
  • Tor Browser
  • Internet Explorer
  • Google
  • Opera
  • Opera Software
  • Mozilla
  • Mozilla Firefox
  • $Recycle.Bin
  • ProgramData
  • All Users
  • autorun.inf
  • boot.ini
  • bootfont.bin
  • bootsect.bak
  • bootmgr
  • bootmgr.efi
  • bootmgfw.efi
  • desktop.ini
  • iconcache.db
  • ntldr
  • ntuser.dat
  • ntuser.dat.log
  • ntuser.ini
  • thumbs.db
  • Program Files
  • Program Files (x86)
  • #recycle

Saat mengenkripsi file, Night Sky akan menambahkan ekstensi .nightsky ke nama file terenkripsi, seperti yang ditunjukkan pada gambar di bawah ini.

Di setiap folder, catatan tebusan bernama NightSkyReadMe.hta berisi informasi yang terkait dengan apa yang dicuri, email kontak, dan kredensial berkode keras di halaman negosiasi korban.

Alih-alih menggunakan situs Tor untuk berkomunikasi dengan korban, Night Sky menggunakan alamat email dan situs web yang jelas yang menjalankan Rocket.Chat. Kredensial digunakan untuk masuk ke URL Rocket.Chat yang disediakan dalam catatan tebusan.

Taktik pemerasan ganda

Taktik umum yang digunakan oleh operasi ransomware adalah mencuri data yang tidak terenkripsi dari korban sebelum mengenkripsi perangkat di jaringan.

Para pelaku ancaman kemudian menggunakan data curian ini dalam strategi “pemerasan ganda”, di mana mereka mengancam akan membocorkan data jika uang tebusan tidak dibayar.

Untuk membocorkan data korban, Night Sky telah membuat situs kebocoran data Tor yang saat ini mencakup dua korban, satu dari Bangladesh dan satu lagi dari Jepang.

Meskipun belum ada banyak aktivitas dengan operasi ransomware Night Sky yang baru, itu adalah salah satu yang perlu kita awasi saat kita menuju tahun baru.

Sumber: Bleepingcomputer